2.3. Определение условий создания и использования ПДн.
В процесс создания и использования персональных данных включены:
1) субъекты, создающие ПДн — сотрудники управления;
2) субъекты, которым предназначены ПДн — сотрудники управления, граждане обратившиеся за услугой;
3) правила доступа к защищаемой информации — в соответствии с инструкциями администратора и/или пользователя;
4) используемые в процессе информационные технологии, базы данных и технические средства включают:
а) рабочие места операторов с установленным пакетом прикладных и специальных программ;
б) Базы данных специального ППО «Территория».
ПДн представлены в форме записей баз данных специального программного обеспечения ППО «Территория».
К информации, сопутствующей процессам создания и использования ПДн относятся:
ключи, пин-коды и пароли криптосредств;
криптографически опасная информация (КОИ);
информация о настройках криптосредств;
электронные журналы аудита;
резервные копии данных, которые создаются в процессе обработки этих же данных.
2.4. Определение характеристик безопасности.
Характеристики безопасности (исходная защищенность) ИСПДн определены экспертным методом в соответствии с «Методиками определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [4, 5, 6]. Результаты анализа характеристик безопасности приведены в таблице.
Таблица. Уровень исходной защищенности
Технические и эксплуатационные характеристики ИСПДн
|
Уровень защищенности
|
Высокий
|
Средний
|
Низкий
|
1. По территориальному размещению
|
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;
|
|
+
|
|
2. По наличию соединения с сетями общего пользования
|
ИСПДн, имеющая одноточечный выход в сеть общего пользования
|
|
+
|
|
3. По встроенным (легальным) операциям с записями баз ПДн
|
Чтение, запись, удаление
|
|
+
|
|
4. По разграничению доступа к ПДн
|
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
|
|
+
|
|
5. По наличию соединений с другими базами ПДн иных ИСПДн
|
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);
|
|
|
+
|
6. По уровню обобщения (обезличивания) ПДн
|
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
|
|
|
+
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
|
ИСПДн, предоставляющая часть ПДн
|
|
+
|
|
Характеристики ИСПДн
|
0%
|
71,43%
|
28,57%
|
Таким образом, ИСПДн имеет средний (Y(1)=5) уровень исходной защищенности, т. к. более 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний», но менее 70% характеристик ИСПДн соответствуют уровню «высокий» [4, 5, 6, 7].
Более подробная частная модель угроз предоставлена в Приложении 1.
|
