«Персональные данные, это не просто строка в базе. Это человек, его права и риски. Классификация, это не бюрократическая рутина, а инструмент управления этими рисками, переводящий абстрактные законы в конкретные технические меры.»
Категории персональных данных и уровень защиты
Как чувствительность данных определяет объём защитных мер
🔐 Почему категория данных имеет значение
Законодательство не предписывает одинаково защищать номер телефона и генетический код. Цель классификации — оценить потенциальный ущерб для субъекта данных при нарушении их конфиденциальности, целостности или доступности. Эта оценка становится ключом к выбору адекватных и экономически обоснованных мер защиты.
Некорректное отнесение данных к категории — системная ошибка, которая деформирует всю систему безопасности. На практике это приводит к одной из двух проблем: либо компания тратит ресурсы на избыточную защиту общедоступных сведений, либо, что хуже, оставляет без должного внимания чувствительные массивы, создавая риски для людей и для собственного бизнеса.
📊 Классификация данных и угрозы
В основе регулирования лежит разделение на четыре группы, где каждая последующая несёт больший потенциал вреда и требует более строгого режима обработки.
Четыре группы персональных данных
Традиционное деление, закреплённое в законодательстве, служит отправной точкой для любого анализа.
| Категория | Что включает | Типичные риски и требования |
|---|---|---|
| Общедоступные | Данные, которые субъект сам сделал общеизвестными (например, ФИО и рабочий номер телефона в публичном профиле). Ключевой признак — целенаправленное действие субъекта по раскрытию. | Базовый режим защиты, направленный в первую очередь на обеспечение целостности и доступности, а не конфиденциальности. Могут обрабатываться без прямого согласия для конкретных целей. |
| Иные ПДн | Наиболее обширная группа: паспортные данные, ИНН, адрес регистрации и проживания, информация об образовании, финансовом положении, семейном статусе. Всё, что не попало в остальные три категории. | Требуют согласия субъекта на обработку. Уровень защиты определяется масштабом обработки и может варьироваться от базового до высокого. Основные угрозы — мошенничество, кража личности, финансовые потери. |
| Биометрические | Физиологические и биологические характеристики, пригодные для идентификации личности: отпечатки пальцев, изображение лица (при спецобработке), радужная оболочка глаза, голос, ДНК. | Особый правовой режим. Обработка допускается только с письменного согласия субъекта (за редкими исключениями). Утрата биометрии — критический риск, так как эти данные невозможно изменить. Требует применения усиленных мер шифрования и строгого контроля доступа. |
| Специальные категории | Данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. | Наиболее защищаемая категория. Обработка, как правило, запрещена, кроме случаев, прямо предусмотренных законом (например, с явного согласия субъекта или для целей медицины). Утечка влечёт риски дискриминации, шантажа, причинения морального вреда. Влечёт применение наивысших уровней защиты. |
⚖️ Четыре уровня защищённости (УЗ)
Конкретизация требований происходит через Уровни Защищённости (УЗ), установленные Постановлением Правительства №1119. УЗ, это не абстрактная градация, а чёткий перечень организационных и технических мер, обязательных к реализации. Выбор УЗ, это выбор архитектуры системы безопасности.
УЗ-1 (Максимальный)
Применяется, если обрабатываются специальные категории данных И количество субъектов превышает 100 000.
Требует использования только сертифицированных средств защиты информации (СЗИ), организации строгого двухфакторного контроля доступа, ведения полного аудита всех действий, физической защиты объектов.
УЗ-2 (Высокий)
Применяется для обработки биометрических данных, специальных категорий (независимо от числа субъектов) или иных данных более чем 100 000 субъектов.
Обязательны шифрование хранимых данных и каналов передачи, автоматическое разграничение прав доступа, средства обнаружения вторжений, защита от утечек.
УЗ-3 (Средний)
Применяется для обработки иных ПДн более чем 100 000 субъектов.
Необходимы базовое разграничение прав доступа (учётные записи), использование антивирусных средств, регулярное резервное копирование, разработка регламентирующих документов.
УЗ-4 (Базовый)
Применяется для обработки иных ПДн, когда субъектов менее 100 000.
Основные требования — наличие утверждённой Политики обработки ПДн, получение согласия субъектов, назначение ответственного, базовые меры по обеспечению безопасности (например, штатные средства ОС).
Как выбрать уровень?
Алгоритм выбора строится на двух координатах: категория данных и масштаб.
- Определите категорию обрабатываемых данных по таблице выше.
- Оцените количество субъектов данных (физических лиц), информацию о которых вы обрабатываете. Рубеж в 100 000 человек является ключевым для «иных ПДн».
- Примените правило повышающего коэффициента:
- «Иные ПДн» + >100 000 субъектов = повышение УЗ на одну ступень (например, базовый УЗ-4 становится средним УЗ-3).
- «Биометрия» или «Специальные категории» автоматически задают высокие уровни защиты (УЗ-2 или УЗ-1).
🛠 Практический алгоритм определения
Для вновь создаваемых или анализируемых процессов обработки используйте последовательный чек-лист. Это позволит избежать субъективных ошибок.
| № | Вопрос для анализа | Если «Да» — что это значит |
|---|---|---|
| 1 | Эти данные субъект самостоятельно и целенаправленно разместил в общем доступе (сайт, соцсеть)? | Вероятно, общедоступные ПДн. Проверить цель и условия публикации. |
| 2 | Данные относятся к здоровью, убеждениям, интимной жизни, расовой или национальной принадлежности? | Это специальная категория. Требуется прямое разрешение закона или явное согласие. Инициировать процедуру установления УЗ-2 или УЗ-1. |
| 3 | Данные представляют собой обработанное изображение лица, отпечатки пальцев, голосовую запись для идентификации? | Это биометрические ПДн. Требуется отдельное согласие. Определять УЗ-2. |
| 4 | Данные не попали в пункты 1-3? | Это иные ПДн. Определить количество субъектов: более 100 000 → УЗ-3, менее → УЗ-4. |
Этот алгоритм — не формальность, а первый шаг к построению системы защиты, которая реально соответствует рискам, а не просто закрывает бюрократические требования.