2.3. Определение условий создания и использования ПДн. В процесс создания и использования персональных данных включены:
1) субъекты, создающие ПДн — сотрудники управления;
2) субъекты, которым предназначены ПДн — сотрудники управления, граждане обратившиеся за услугой;
3) правила доступа к защищаемой информации — в соответствии с инструкциями администратора и/или пользователя;
4) используемые в процессе информационные технологии, базы данных и технические средства включают:
а) рабочие места операторов с установленным пакетом прикладных и специальных программ;
б) Базы данных специального ППО «Территория».
ПДн представлены в форме записей баз данных специального программного обеспечения ППО «Территория».
К информации, сопутствующей процессам создания и использования ПДн относятся:
ключи, пин-коды и пароли криптосредств;
криптографически опасная информация (КОИ);
информация о настройках криптосредств;
электронные журналы аудита;
резервные копии данных, которые создаются в процессе обработки этих же данных.
2.4. Определение характеристик безопасности. Характеристики безопасности (исходная защищенность) ИСПДн определены экспертным методом в соответствии с «Методиками определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [4, 5, 6]. Результаты анализа характеристик безопасности приведены в таблице.
Таблица. Уровень исходной защищенности
Технические и эксплуатационные характеристики ИСПДн
| Уровень защищенности
| Высокий
| Средний
| Низкий
| 1. По территориальному размещению
| локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий;
|
| +
|
| 2. По наличию соединения с сетями общего пользования
| ИСПДн, имеющая одноточечный выход в сеть общего пользования
|
| +
|
| 3. По встроенным (легальным) операциям с записями баз ПДн
| Чтение, запись, удаление
|
| +
|
| 4. По разграничению доступа к ПДн
| ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
|
| +
|
| 5. По наличию соединений с другими базами ПДн иных ИСПДн
| Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);
|
|
| +
| 6. По уровню обобщения (обезличивания) ПДн
| ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
|
|
| +
| 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
| ИСПДн, предоставляющая часть ПДн
|
| +
|
| Характеристики ИСПДн
| 0%
| 71,43%
| 28,57%
| Таким образом, ИСПДн имеет средний (Y(1)=5) уровень исходной защищенности, т. к. более 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний», но менее 70% характеристик ИСПДн соответствуют уровню «высокий» [4, 5, 6, 7].
Более подробная частная модель угроз предоставлена в Приложении 1.
|