Решение вопросов, связанных с приведением деятельности компании в соответствие с нормативно-правовыми требованиями к информационным системам персональных данных, занимает достаточно много времени и предполагает выполнение ряда процессуальных действий. Среди них — создание комиссии для определения уровня защищенности ПДн. Задача специалистов состоит в детальном изучении характеристик ИС и установлении, насколько хорошо она противодействует актуальным угрозам безопасности. По итогам работы формируется документ установленного образца, где прописано, к кому из четырех существующих уровней относится исследуемая система.
Действующее законодательство, а именно — утвержденное в 2012 году Постановление Правительства № 1119, не предполагает составления акта классификации ИСПДн. Вместо него нужен акт, которым определен уровень защищенности и на основании которого впоследствии предстоит составить план организационных и технических мероприятий. Данные мероприятия позволят обезопасить личные сведения граждан от неправомерного распространения, изменения, блокировки, хранения и других видов обработки.
Главное, что нужно знать об акте уровня защищенности ИСПДн
- документ составляется после сбора и оценки характеристик и особенностей эксплуатации ИС, использующей персональную информацию;
- в нем должны быть прописаны все, предусмотренные российским законодательством, сведения, позволяющие установить показатель, который отображает способность системы нейтрализовать УБ;
- акт установления уровня защищенности информационных систем ПДн не относится к группе конфиденциальных документов. Более того, ИП или организация обязаны продумать, каким образом обеспечить доступ к нему неограниченному кругу лиц, включая клиентов и партнеров;
- анализ исходной информации осуществляется специально созданной комиссией, в которой обязательно должен состоять сотрудник, который отдельным приказом руководства компании определен как ответственный за процесс обработки ПДн;
- утверждение возлагается на директора предприятия;
- для каждой из созданных информационных систем требуется отдельная проверка и составление акта;
- от правильности определения уровня защищенности зависит составление перечня требований к СЗИ. Если невнимательно отнестись к данному вопросу, то в будущем есть вероятность появления претензий со стороны ФСТЭК, ФСБ и других проверяющих органов из-за недостаточного уровня безопасности. В свою очередь, при необоснованном завышении рисков существенно возрастают финансовые расходы на интеграцию средств защиты.
Акт определения уровня защищенности персональных данных: содержание
Основную часть документа составляют характеристики анализируемой ИСПДн, а именно:
- объем ПДн, которые обрабатываются (прописывать точное число субъектов нет необходимости, достаточно указать, является ли показатель более или менее 100 тысяч);
- формат взаимоотношений с субъектами — владельцы сведений могут быть или не быть сотрудниками вашей компании;
- категории персональных данных, которые используются ИС (общедоступные, специальные, биометрические или иные);
- тип актуальных УБ — факторы риска несанкционированного доступа могут касаться НДВ в программном обеспечении (системном либо прикладном) или быть не связанными с недекларированными возможностями применяемого софта.
Особенности заполнения
Шаблон акта, устанавливающего уровень защищенности персональных данных в ИС, можно просмотреть или скачать на официальном сайте ФСТЭК. Чтобы составление прошло без лишних сложностей, предлагаем вашему вниманию детальную инструкцию, как действовать:
- В верхнем правом углу руководитель организации должен поставить свою подпись, указать инициалы и дату, что подтверждает утверждение акта.
- В шапке нужно прописать название документа, не забыв упомянуть, в отношении какой ИСПДн он составлен.
- Затем следует вписать состав комиссии в текстовом формате либо, заполнив таблицу. Ниже указывается нормативно-правовая база, в данном случае — Постановление № 1119.
- Далее необходимо прописать то, что определила комиссия в процессе анализа — объем ПДн, категорию субъектов и взаимоотношения с ними, типы актуальных угроз (есть смысл сделать отсылку на модель УБ). Уточнять классификационные параметры (принадлежность к типовой или специальной ИСПДн, структурные особенности, наличие подключений к сетям общего пользования, разграничение доступа) в настоящий момент не нужно.
- После описания параметров необходимо прописать, к какому уровню защищенности относится ИС (1,2,3 или 4). Также требуется указать, что показатель актуален только при условии отсутствия изменений в характеристиках системы. Это означает то, что, если объем или категория обрабатываемых ПДн либо другие параметры поменяются, проводить анализ и устанавливать УЗ придется повторно.
- В самом конце все члены комиссии указывают ФИО и ставят подпись.