ИСПДн: что это такое, классификация и требования к защите
Разбираемся, что такое информационная система персональных данных, как правильно классифицировать ИСПДн, определить уровень защищённости и выполнить требования ФСТЭК.
ИСПДн: что это такое, классификация и требования к защите
Если ваша компания обрабатывает персональные данные хотя бы одного человека — у вас есть ИСПДн. Возможно, не одна. Возможно, вы даже не подозреваете обо всех. Разберём, что стоит за этой аббревиатурой, как найти и классифицировать свои ИСПДн и какие требования к их защите предъявляет закон.
Что такое ИСПДн
ИСПДн (информационная система персональных данных) — это совокупность персональных данных, содержащихся в базах данных, и обеспечивающих их обработку информационных технологий и технических средств.
Проще говоря, ИСПДн — это любая система (программа, сервис, база данных), в которой хранятся или обрабатываются персональные данные.
Примеры ИСПДн в организации
Большинство компаний используют несколько ИСПДн, часто не осознавая этого:
| Система | Какие ПДн содержит | Субъекты |
|---|---|---|
| 1С:Зарплата и управление персоналом | ФИО, паспорт, ИНН, СНИЛС, зарплата | Сотрудники |
| CRM (Битрикс24, amoCRM) | ФИО, телефон, email, история покупок | Клиенты |
| Сайт (формы обратной связи) | Имя, телефон, email | Посетители |
| Бухгалтерская система | ФИО, ИНН, банковские реквизиты | Сотрудники, контрагенты |
| Корпоративная почта | ФИО, email, содержание переписки | Сотрудники, контрагенты |
| СКУД (система контроля доступа) | ФИО, фото, биометрия | Сотрудники |
| Видеонаблюдение | Изображения (биометрия) | Сотрудники, посетители |
| Облачное хранилище | Документы с ПДн | Разные категории |
Как выявить все ИСПДн
Инвентаризация — первый и самый важный шаг. Пройдите по чек-листу:
- Опросите каждое подразделение: бухгалтерия, HR, маркетинг, ИТ, продажи — у каждого свои системы
- Проверьте все программы и сервисы, где сотрудники вводят данные клиентов или коллег
- Не забудьте облачные сервисы: Google Workspace, Яндекс 360, SaaS-решения
- Проверьте Excel-таблицы: часто персональные данные «живут» в файлах на общем диске
- Учтите бумажные носители: личные дела, журналы посещений — тоже часть системы обработки
Важно: Распространённая ошибка — считать, что у компании одна ИСПДн. На практике их обычно от 3 до 10, и у каждой могут быть разные требования к защите.
Классификация ИСПДн
Классификация определяет, какой уровень защищённости нужен для каждой системы. Критерии:
1. Категория персональных данных
- Специальные — расовая принадлежность, политические взгляды, здоровье, интимная жизнь
- Биометрические — отпечатки пальцев, изображение лица, голос
- Общедоступные — данные из общедоступных источников (справочники, реестры)
- Иные — всё остальное: ФИО, телефон, адрес, email
2. Количество субъектов
- Менее 100 000 субъектов
- Более 100 000 субъектов
3. Тип актуальных угроз
- Тип 1 — угрозы, связанные с недокументированными возможностями системного ПО
- Тип 2 — угрозы, связанные с недокументированными возможностями прикладного ПО
- Тип 3 — угрозы, не связанные с недокументированными возможностями (самый распространённый)
Комбинация этих параметров даёт уровень защищённости: от УЗ-1 (максимальный) до УЗ-4 (базовый). Подробнее о расчёте читайте в нашей статье «Уровни защищённости персональных данных».
Требования ФСТЭК к защите ИСПДн
Приказ ФСТЭК России № 21 определяет обязательные меры защиты для каждого уровня. Основные группы мер:
- Идентификация и аутентификация — кто получает доступ к системе
- Управление доступом — разграничение прав пользователей
- Регистрация событий безопасности — логирование действий
- Антивирусная защита — средства обнаружения вредоносного ПО
- Контроль защищённости — периодический анализ уязвимостей
- Защита среды виртуализации — если ИСПДн в виртуальной среде
- Защита технических средств — физическая безопасность серверов
- Защита каналов связи — шифрование при передаче данных
Типичные ошибки при классификации
«Мы используем облако — это не наша ИСПДн»
Нет. Если вы загружаете персональные данные в облачный сервис, вы остаётесь оператором ПДн. Облачный провайдер — лицо, осуществляющее обработку по вашему поручению. Ответственность остаётся на вас.
«У нас только ФИО и телефоны — это не считается»
Считается. ФИО в сочетании с любым идентификатором (телефон, email, адрес) — это персональные данные, и система, где они хранятся, — это ИСПДн.
«Excel-файл — не информационная система»
Формально таблица Excel с данными клиентов на компьютере сотрудника — это ИСПДн. И требования к её защите такие же, как к CRM.
Практические шаги
- Проведите инвентаризацию всех систем, работающих с персональными данными
- Для каждой ИСПДн определите: категории данных, количество субъектов, тип актуальных угроз
- Рассчитайте уровень защищённости — таблица в ПП РФ № 1119
- Составьте акт классификации — документ, фиксирующий результаты
- Определите набор мер по приказу ФСТЭК № 21
- Реализуйте меры защиты — технические и организационные
Первые три шага можно выполнить за несколько дней. Начните с экспресс-аудита, чтобы понять общую картину. Если требуется профессиональная классификация и разработка системы защиты — это часть нашей услуги комплаенс по 152-ФЗ и выполнения требований ФСТЭК.
Не уверены, сколько ИСПДн у вашей организации и правильно ли они классифицированы? Пройдите экспресс-аудит или свяжитесь с нами — поможем провести инвентаризацию и определить необходимые меры защиты.