Как операторы могут определить уровень защищенности информационной системы для персональных данных?

Чтобы определить уровень защищённости информационной системы для персональных данных, нужно оценить обрабатываемые данные и актуальные угрозы. 1

Согласно Постановлению Правительства РФ №1119, выделяют четыре уровня защищённости персональных данных: 2

1. УЗ-1 — высший уровень защиты, так как несанкционированное использование хранящихся в системе данных способно причинить значимый ущерб. 1
2. УЗ-2 — системы с хорошим уровнем защиты, предусматривающим обязательное наличие резервных копий и защиту от взлома. 1
3. УЗ-3 — системы с достаточным уровнем защиты, хранящие информацию, несанкционированный доступ к которой может принести незначительные негативные последствия. 1
4. УЗ-4 — система, которая меньше остальных нуждается в безопасности данных. 3

Чтобы определить уровень защищённости, нужно учесть четыре параметра: 2

1. Категория персональных данных. 2 Есть специальные, биометрические, общедоступные и иные данные. 14
2. Чьи персональные данные будут обрабатываться. 2 Это могут быть данные работников организации или других лиц. 2
3. Количество субъектов, данные которых обрабатываются. 2 Есть варианты менее 100 000 и более 100 000. 2
4. Типы актуальных угроз. 2 Есть связанные с наличием недокументированных возможностей в системном программном обеспечении, в прикладном программном обеспечении и не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении. 2

Зная эти параметры, можно рассчитать уровень защищённости персональных данных по калькулятору ФСТЭК. 2 Система выдаст перечень мер для защиты информации. 2 Но нужно точно знать все параметры, иначе калькулятор определит уровень неправильно. 2 Чтобы не ошибиться, стоит обратиться к специалисту по информационной безопасности. 2