Как определить уровень защищенности персональных данных

Правильное определение уровня защищенности персональных данных является важным шагом для принятия адекватных мер по их защите. Неправильная оценка может привести к излишним затратам. Медицинские учреждения используют множество информационных систем, обрабатывающих персональные данные, поэтому рассмотрим параметры определения уровня защищенности на примере этой отрасли.

Законодательная база

Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных». Требования к защите персональных данных при их обработке в информационных системах установлены постановлением Правительства РФ от 01.11.2012 N 1119.

Определение уровня защищенности

Уровни защищенности персональных данных при их обработке в информационных системах определяются исходя из следующих условий:

  1. Категория субъектов персональных данных

Определяется, обрабатываются ли персональные данные сотрудников или иных лиц.

  1. Количество субъектов персональных данных

Определяется количество обрабатываемых персональных данных: до 100 000 или более 100 000 человек.

  1. Категория персональных данных

Определяется категория обрабатываемых персональных данных: специальные, биометрические, общедоступные или иные.

  1. Тип актуальных угроз безопасности персональных данных

Определяется тип актуальных угроз безопасности персональных данных, таких как угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении, прикладном программном обеспечении или иные.

Значение определения уровня защищенности

Чем выше уровень защищенности персональных данных, тем больше мер по обеспечению их безопасности требуется выполнить. Ошибочное определение более высокого уровня защищенности может привести к излишним затратам на построение более дорогой системы защиты персональных данных.

Важно учитывать, что уровень защищенности персональных данных должен соответствовать реальным потребностям и уровню угроз, с которыми сталкивается конкретная информационная система.