ADG Оставить заявку
Блог Регуляторика 4 мин чтения

152-ФЗ: классифицируем ИСПДн у трёх клиентов - и обнаруживаем, что зарплатная база - это К2

Провели классификацию ИСПДн у трёх клиентов по проекту приказа ФСТЭК: составили перечни систем, определили категории К1-К4, посчитали субъектов. Зарплатная база HR - минимум К2.

Контекст момента

ФСТЭК и ФСБ готовят совместный приказ №55/86/20 о классификации ИСПДн; работа по классификации информационных систем с персональными данными ведётся операторами уже в 2007 году по проектной версии документа

За последний месяц мы провели классификацию информационных систем персональных данных у трёх клиентов. Не потому что все три вдруг прочитали 152-ФЗ одновременно - просто к нам начали приходить с конкретным запросом: «объясните, что у нас за системы и что с ними делать». Это уже следующий шаг после постановки на учёт в РКН, которую несколько компаний прошли раньше.

Нормативная база по классификации - проект приказа ФСТЭК, который в рабочем виде гуляет по отрасли. Финального текста приказа нет, но проект достаточно структурирован, чтобы работать с ним как с рабочим документом. Регулятор, судя по всему, к этой логике и сам склоняется: лучше делать по проекту сейчас, чем ждать финала в пустоте.

Как устроена классификация

Схема двухосевая. По одной оси - категория персональных данных в системе, по другой - количество субъектов. На пересечении получается класс от К1 до К4, где К1 - самый жёсткий, К4 - базовый.

Категории данных, грубо:

  • Спецкатегории. Здоровье, биометрия, национальность, религиозные и политические взгляды, судимости. Это автоматически К1 или К2 в зависимости от объёма субъектов.
  • Данные, позволяющие создать «профиль» субъекта. ФИО плюс место работы плюс финансовые атрибуты - сюда попадает большинство корпоративных систем.
  • Обезличенные или общедоступные данные. К4, требования минимальные.

Количество субъектов: до 1000, от 1000 до 100 000, свыше 100 000 - три диапазона.

Что нашли у клиентов

У всех трёх компаний первым делом оказывалось, что они не понимают, сколько у них вообще ИСПДн. Каждый думал - «ну вот CRM и 1С, наверное». По факту в одном случае список вырос до восьми систем: добавились корпоративная почта с вложениями, кадровая база в Excel на файловом сервере (да, именно), система видеонаблюдения с распознаванием лиц у входа и несколько веб-форм на сайте, собирающих контакты.

Кадровую Excel-базу клиент был уверен, что она «не считается» - потому что «это же не система, это просто файл». Объяснять, что ИСПДн - это не только специализированный софт, но и любая совокупность персданных с инструментами обработки, пришлось отдельно.

Три главных вывода по итогу работы:

Зарплатная база HR - это минимум К2. У всех трёх клиентов без исключения. Зарплата - финансовые сведения, которые в сочетании с ФИО, должностью и адресом позволяют составить профиль субъекта. Субъектов - штат компании, обычно несколько сотен, что укладывается в диапазон «до 1000», но качество данных тянет как минимум на категорию 2. При субъектах свыше тысячи это уже К1 в ряде интерпретаций.

Видеонаблюдение с распознаванием лиц - спецкатегория. Биометрия явно названа в законе. Один клиент поставил систему распознавания в прошлом году как «удобный пропуск» - и не задумывался, что это ИСПДн с биометрическими данными. Формально К1, причём без оговорок.

Веб-формы на сайте - отдельная ИСПДн. Форма обратной связи с полями «имя - телефон - e-mail» собирает персональные данные. Если данные хранятся на том же сервере, что и сайт, у которого нет нормального разграничения - это проблема сразу на нескольких уровнях.

Как мы это документировали

Для каждого клиента составили реестр ИСПДн: название системы, технологическая платформа, состав данных, категория, количество субъектов, класс защищённости. Отдельно - схема потоков данных между системами, потому что классифицировать нужно не только хранилище, но и передачу.

Документ намеренно привязан к конкретной версии проекта приказа - с указанием даты и источника. Когда выйдет финальный текст, будет понятно, что именно надо пересматривать и в каком объёме.

Формально приказа ещё нет. Но операторы, которые уже ведут эту работу, в выигрышной позиции - у них хотя бы есть понимание, что есть в периметре. Те, кто ждёт финального документа, к его выходу будут начинать с нуля.

По аудиту ИСПДн - обращайтесь, делаем и разовую классификацию, и сопровождение при подготовке к проверкам.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.