Главная
Документы
Таблица 1. Показатели исходной защищенности ИСПДн

Документ не применяется. Подробнее см. Справку

"Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (утв. ФСТЭК РФ 14.02.2008)

Таблица 1. Показатели исходной защищенности ИСПДн

Таблица 1

Показатели исходной защищенности ИСПДн

┌────────────────────────────────┬────────────────────────────────────────┐

│ Технические и эксплуатационные │ Уровень защищенности │

│ характеристики ИСПДн ├─────────────┬────────────┬─────────────┤

│ │ высокий │ средний │ низкий │

├────────────────────────────────┼─────────────┼────────────┼─────────────┤

│1. По территориальному │ │ │ │

│размещению: │ │ │ │

│распределенная ИСПДн, которая│ - │ - │ + │

│охватывает несколько областей,│ │ │ │

│краев, округов или государство│ │ │ │

│в целом; │ │ │ │

│городская ИСПДн, охватывающая│ - │ - │ + │

│не более одного населенного│ │ │ │

│пункта (города, поселка); │ │ │ │

│корпоративная распределенная│ - │ + │ - │

│ИСПДн, охватывающая многие│ │ │ │

│подразделения одной│ │ │ │

│организации; │ │ │ │

│локальная (кампусная) ИСПДн,│ - │ + │ - │

│развернутая в пределах│ │ │ │

│нескольких близко расположенных│ │ │ │

│зданий; │ │ │ │

│локальная ИСПДн, развернутая в│ + │ - │ - │

│пределах одного здания │ │ │ │

│2. По наличию соединения с│ │ │ │

│сетями общего пользования: │ │ │ │

│ИСПДн, имеющая многоточечный│ - │ - │ + │

│выход в сеть общего│ │ │ │

│пользования; │ │ │ │

│ИСПДн, имеющая одноточечный│ - │ + │ - │

│выход в сеть общего│ │ │ │

│пользования; │ │ │ │

│ИСПДн, физически отделенная от│ + │ - │ - │

│сети общего пользования │ │ │ │

│3. По встроенным (легальным)│ │ │ │

│операциям с записями баз│ │ │ │

│персональных данных: │ │ │ │

│чтение, поиск;│ + │ - │ - │

│запись, удаление, сортировка;│ - │ + │ - │

│модификация, передача│ - │ - │ + │

│4. По разграничению доступа к│ │ │ │

│персональным данным: │ │ │ │

│ИСПДн, к которой имеют доступ│ - │ + │ - │

│определенные перечнем│ │ │ │

│сотрудники организации,│ │ │ │

│являющейся владельцем ИСПДн,│ │ │ │

│либо субъект ПДн; │ │ │ │

│ИСПДн, к которой имеют доступ│ - │ - │ + │

│все сотрудники организации,│ │ │ │

│являющейся владельцем ИСПДн; │ │ │ │

│ИСПДн с открытым доступом │ - │ - │ + │

│5. По наличию соединений с│ │ │ │

│другими базами ПДн иных ИСПДн: │ │ │ │

│интегрированная ИСПДн│ - │ - │ + │

│(организация использует│ │ │ │

│несколько баз ПДн ИСПДн, при│ │ │ │

│этом организация не является│ │ │ │

│владельцем всех используемых│ │ │ │

│баз ПДн); │ │ │ │

│ИСПДн, в которой используется│ + │ - │ - │

│одна база ПДн, принадлежащая│ │ │ │

│организации - владельцу данной│ │ │ │

│ИСПДн │ │ │ │

│6. По уровню обобщения│ │ │ │

│(обезличивания) ПДн: │ │ │ │

│ИСПДн, в которой│ + │ - │ - │

│предоставляемые пользователю│ │ │ │

│данные являются обезличенными│ │ │ │

│(на уровне организации,│ │ │ │

│отрасли, области, региона и│ │ │ │

│т.д.); │ │ │ │

│ИСПДн, в которой данные│ - │ + │ - │

│обезличиваются только при│ │ │ │

│передаче в другие организации и│ │ │ │

│не обезличены при│ │ │ │

│предоставлении пользователю в│ │ │ │

│организации; │ │ │ │

│ИСПДн, в которой│ - │ - │ + │

│предоставляемые пользователю│ │ │ │

│данные не являются│ │ │ │

│обезличенными (т.е.│ │ │ │

│присутствует информация,│ │ │ │

│позволяющая идентифицировать│ │ │ │

│субъекта ПДн) │ │ │ │

│7. По объему ПДн, которые│ │ │ │

│предоставляются сторонним│ │ │ │

│пользователям ИСПДн без│ │ │ │

│предварительной обработки: │ │ │ │

│ИСПДн, предоставляющая всю базу│ - │ - │ + │

│данных с ПДн; │ │ │ │

│ИСПДн, предоставляющая часть│ - │ + │ - │

│ПДн; │ │ │ │

│ИСПДн, не предоставляющая│ + │ - │ - │

│никакой информации │ │ │ │

└────────────────────────────────┴─────────────┴────────────┴─────────────┘

Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой

степени исходной защищенности ставится в соответствие числовой коэффициент

Y , а именно:

0 - для высокой степени исходной защищенности;

5 - для средней степени исходной защищенности;

10 - для низкой степени исходной защищенности.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

При составлении перечня актуальных угроз безопасности ПДн каждой

градации вероятности возникновения угрозы ставится в соответствие числовой

коэффициент Y , а именно:

0 - для маловероятной угрозы;

2 - для низкой вероятности угрозы;

5 - для средней вероятности угрозы;

10 - для высокой вероятности угрозы.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением

Y = (Y + Y ) / 20

1 2

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если 0 </= Y </= 0,3, то возможность реализации угрозы признается низкой;

если 0,3 < Y </= 0,6, то возможность реализации угрозы признается средней;

если 0,6 < Y </= 0,8, то возможность реализации угрозы признается высокой;

если Y > 0,8, то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 2.

2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных Таблица 2. Правила отнесения угрозы безопасности ПДн к актуальной