152-ФЗ: классифицируем ИСПДн у трёх клиентов - и обнаруживаем, что зарплатная база - это К2
Провели классификацию ИСПДн у трёх клиентов по проекту приказа ФСТЭК: составили перечни систем, определили категории К1-К4, посчитали субъектов. Зарплатная база HR - минимум К2.
ФСТЭК и ФСБ готовят совместный приказ №55/86/20 о классификации ИСПДн; работа по классификации информационных систем с персональными данными ведётся операторами уже в 2007 году по проектной версии документа
За последний месяц мы провели классификацию информационных систем персональных данных у трёх клиентов. Не потому что все три вдруг прочитали 152-ФЗ одновременно - просто к нам начали приходить с конкретным запросом: «объясните, что у нас за системы и что с ними делать». Это уже следующий шаг после постановки на учёт в РКН, которую несколько компаний прошли раньше.
Нормативная база по классификации - проект приказа ФСТЭК, который в рабочем виде гуляет по отрасли. Финального текста приказа нет, но проект достаточно структурирован, чтобы работать с ним как с рабочим документом. Регулятор, судя по всему, к этой логике и сам склоняется: лучше делать по проекту сейчас, чем ждать финала в пустоте.
Как устроена классификация
Схема двухосевая. По одной оси - категория персональных данных в системе, по другой - количество субъектов. На пересечении получается класс от К1 до К4, где К1 - самый жёсткий, К4 - базовый.
Категории данных, грубо:
- Спецкатегории. Здоровье, биометрия, национальность, религиозные и политические взгляды, судимости. Это автоматически К1 или К2 в зависимости от объёма субъектов.
- Данные, позволяющие создать «профиль» субъекта. ФИО плюс место работы плюс финансовые атрибуты - сюда попадает большинство корпоративных систем.
- Обезличенные или общедоступные данные. К4, требования минимальные.
Количество субъектов: до 1000, от 1000 до 100 000, свыше 100 000 - три диапазона.
Что нашли у клиентов
У всех трёх компаний первым делом оказывалось, что они не понимают, сколько у них вообще ИСПДн. Каждый думал - «ну вот CRM и 1С, наверное». По факту в одном случае список вырос до восьми систем: добавились корпоративная почта с вложениями, кадровая база в Excel на файловом сервере (да, именно), система видеонаблюдения с распознаванием лиц у входа и несколько веб-форм на сайте, собирающих контакты.
Кадровую Excel-базу клиент был уверен, что она «не считается» - потому что «это же не система, это просто файл». Объяснять, что ИСПДн - это не только специализированный софт, но и любая совокупность персданных с инструментами обработки, пришлось отдельно.
Три главных вывода по итогу работы:
Зарплатная база HR - это минимум К2. У всех трёх клиентов без исключения. Зарплата - финансовые сведения, которые в сочетании с ФИО, должностью и адресом позволяют составить профиль субъекта. Субъектов - штат компании, обычно несколько сотен, что укладывается в диапазон «до 1000», но качество данных тянет как минимум на категорию 2. При субъектах свыше тысячи это уже К1 в ряде интерпретаций.
Видеонаблюдение с распознаванием лиц - спецкатегория. Биометрия явно названа в законе. Один клиент поставил систему распознавания в прошлом году как «удобный пропуск» - и не задумывался, что это ИСПДн с биометрическими данными. Формально К1, причём без оговорок.
Веб-формы на сайте - отдельная ИСПДн. Форма обратной связи с полями «имя - телефон - e-mail» собирает персональные данные. Если данные хранятся на том же сервере, что и сайт, у которого нет нормального разграничения - это проблема сразу на нескольких уровнях.
Как мы это документировали
Для каждого клиента составили реестр ИСПДн: название системы, технологическая платформа, состав данных, категория, количество субъектов, класс защищённости. Отдельно - схема потоков данных между системами, потому что классифицировать нужно не только хранилище, но и передачу.
Документ намеренно привязан к конкретной версии проекта приказа - с указанием даты и источника. Когда выйдет финальный текст, будет понятно, что именно надо пересматривать и в каком объёме.
Формально приказа ещё нет. Но операторы, которые уже ведут эту работу, в выигрышной позиции - у них хотя бы есть понимание, что есть в периметре. Те, кто ждёт финального документа, к его выходу будут начинать с нуля.
По аудиту ИСПДн - обращайтесь, делаем и разовую классификацию, и сопровождение при подготовке к проверкам.
- 152-ФЗ вступил в силу: разбираем с юристом технические меры для ИСПДн класса К2 · 15 февраля 2007
- 152-ФЗ: встаём на учёт в Россвязьнадзор как операторы персданных · 28 ноября 2006