2. Эволюция понятия ПДн
• 2010 г.: Персональные данные - любая информация, относящаяся к
определенному или определяемому на основании такой
информации физическому лицу (субъекту персональных данных), в
том числе его фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая информация.
• 2015 г.: Персональные данные - любая информация, относящаяся к
прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных).
3. • Рост на 200% обращений граждан, 10%
доводов подтверждено.
• Штрафы - более 5 млн. рублей.
• Свыше 1000 проверок.
Цифры года
5. • Назначение ответственных лиц,
• Анализ информационной системы,
• Модель угроз,
• Классификация ИСПДн,
• Согласие на обработку ПДн,
• Уведомление в Роскомнадзор,
• Частное техническое задание на СЗПДн,
• Установка и настройка СЗИ,
• Разработка нормативной документации.
Что необходимо сделать?
6. Уровень защищенности
Уровень защищенности
Угрозы 1 типа Угрозы 2 типа Угрозы 3 типа
Специальные категории персональных данных
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 1 уровень (если более 100000 субъектов)
2 уровень (если менее 100000)
2 уровень (если более 100000
субъектов)
3 уровень (если менее 100000
субъектов)
Биометрические персональные данные
-сотрудников 1 уровень 2 уровень 3 уровень
-не сотрудников 1 уровень 2 уровень 3 уровень
Общедоступные персональные данные
-сотрудников 2 уровень 3 уровень 4 уровень
-не сотрудников 2 уровень 2 уровень (если более 100000 субъектов)
3 уровень (если менее 100000 субъектов)
4 уровень
Иные персональные данные (не специальные, не биометрические, не общедоступные)
-сотрудников 1 уровень 3 уровень 4 уровень
-не сотрудников 1 уровень 2 уровень (если более 100000 субъектов)
3 уровень (если менее 100000 субъектов)
3 уровень (если более 100000
субъектов)
4 уровень (если мене 100000
субъектов)
8. Проект ФСТЭК. Актуальность угроз
Вероятность
(возможность)
реализации
угрозы
Степень возможного ущерба
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
9. Проект ФСТЭК. Определение ущерба
Степень
ущерба
Характерстика степени ущерба
Высокая В результате нарушения одного из свойств безопасности информации
возможны существенные негативные последствия.
Информационная система и (или) оператор (обладатель информации)
не могут выполнять возложенные на них функции.
Средняя В результате нарушения одного из свойств безопасности возможны
незначительные негативные последствия.
Информационная система и (или) оператор (обладатель информации)
не могут выполнять хотя бы одну из возложенных на них функций.
Низкая В результате нарушения одного из свойств безопасности информации
возможны незначительные негативные последствия.
Информационная система и (или) оператор (обладатель информации)
могут выполнять возложенные на них функции с недостаточной
эффективностью или выполнение функций возможно только с
привлечением дополнительных сил и средств.