ИСПДн
ИСПДн — информационная система персональных данных: совокупность баз данных и технологий, в которых оператор обрабатывает ПДн.
Что такое ИСПДн
ИСПДн расшифровывается как информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Проще говоря, ИСПДн — это не только база. Это база плюс приложение, сервер, ОС, сеть, средства защиты и даже рабочие места операторов. Отсюда практический вывод, который часто пропускают: если на VPS крутится сайт с формой заявки, то ИСПДн — это весь этот сервер целиком, а не строка в таблице.
Формально ИСПДн возникает в момент, когда вы начинаете обрабатывать ПДн в электронном виде. CRM, интернет-магазин, кадровая 1С, даже логи веб-сервера с IP и email — всё это ИСПДн со всеми вытекающими обязанностями.
Соседние сокращения
Их постоянно путают, поэтому разложим:
| Сокращение | Расшифровка |
|---|---|
| ПДн | Персональные данные |
| ИСПДн | Информационная система персональных данных |
| СПДн | Субъект персональных данных — человек, к которому данные относятся |
| СОПД | Согласие на обработку персональных данных |
| УЗ | Уровень защищённости ИСПДн |
СОПД — тот самый документ (или галочка в форме), которым субъект даёт правовое основание на обработку. Требования к нему в ст. 9 152-ФЗ: согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Отсюда практика: одна галочка «согласен со всем» на все цели сразу — типовое нарушение. Цели разделяют, а согласие на рассылку не смешивают с согласием на оказание услуги.
Уровни защищённости
Постановление Правительства РФ № 1119 от 01.11.2012 вводит четыре уровня: УЗ-1 (самый строгий) … УЗ-4. Уровень определяется сочетанием четырёх факторов:
- Тип актуальных угроз. 1-й тип — угрозы недокументированных возможностей в системном ПО, 2-й — в прикладном ПО, 3-й — не связанные с НДВ. Подавляющее большинство коммерческих систем при грамотной модели угроз обосновывают 3-й тип: иначе придётся защищаться от закладок в ядре ОС, а это совсем другие деньги.
- Категория ПДн — специальные, биометрические, общедоступные или иные.
- Объём — больше или меньше 100 000 субъектов.
- Чьи данные — сотрудников оператора или посторонних лиц.
Типовой интернет-магазин или корпоративный портал (иные ПДн, 3-й тип угроз, менее 100 000 субъектов) попадает в УЗ-4 или УЗ-3 — самые щадящие варианты. Медицинская система со сведениями о здоровье уедет в УЗ-2 или выше.
Уровень определяют не «на глаз»: он фиксируется в акте определения уровня защищённости на основании модели угроз, составленной по методике ФСТЭК. Эти два документа — первое, что спросит проверяющий.
Что нужно сделать
- Модель угроз — по методике ФСТЭК, с опорой на банк данных угроз (БДУ).
- Акт определения уровня защищённости.
- Меры защиты по приказу ФСТЭК № 21 — состав зависит от УЗ: идентификация и аутентификация, управление доступом, регистрация событий безопасности, антивирус, межсетевое экранирование, обнаружение вторжений, контроль целостности, СКЗИ при передаче по открытым каналам.
- Сертифицированные СЗИ. Для УЗ-1 и УЗ-2 применение средств, прошедших оценку соответствия, обязательно; для УЗ-3/УЗ-4 требования мягче, но при проверке спрашивают.
- Контроль эффективности — не реже одного раза в 3 года, самостоятельно или лицензиатом ФСТЭК.
- Локализация. База должна физически стоять в России (ч. 5 ст. 18) — это про выбор ЦОД, а не про юрлицо провайдера.
Аттестация для ИСПДн, в отличие от государственных систем, не обязательна — обязательна оценка эффективности мер. Многие всё же аттестуют: так проще проходить проверки и объясняться с заказчиками.
ИСПДн в облаке
При размещении у провайдера ответственность делится. Провайдер закрывает физику ЦОД, гипервизор и сеть, и может дать аттестованный сегмент на нужный УЗ. Вы отвечаете за гостевую ОС, приложение, доступы и бэкапы.
Два момента, которые определяют законность схемы: поручение на обработку по ч. 3 ст. 6 152-ФЗ (без него передача данных провайдеру — нарушение) и аттестат провайдера ровно на ваш уровень — аттестат на УЗ-3 не закрывает ИСПДн, которой нужен УЗ-2.
Связанные термины
- Персональные данные / 152-ФЗ — что обрабатывается в ИСПДн
- СЗИ и СДЗ — чем закрывают меры приказа № 21
- Криптография и СКЗИ — требования ФСБ к шифрованию ПДн
- Информационная безопасность — рамка, в которой всё это живёт
- ЦОД — где физически стоит ИСПДн
Готовы запустить GPU-задачу?
Запустить GPU-сервер