9. Определение типа испДн
Так как компания осуществляет сбор персональных данных, то на неё наложены обязательства обеспечения неограниченного доступа к документу, определяющему её политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных.
В компании «Оптик плюс групп» обрабатываются такие персональные данные, как: ФИО, номер телефона, адрес электронной почты, данные банковской карты, паспортные данные сотрудников.
Используемая в компании ИСПДн не обрабатывает специальную, биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И.
Определение уровня защищенности
К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.
К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДН относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищённости ИСПДн – УЗ 1.
10. КИИ
Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Компания «Оптик плюс групп» принадлежит АСУ и вид ее деятельности в сфере здравоохранения является критически важным. Следовательно, необходимо определить категорию значимости. Ниже приведены таблицы, по которым определялась категория значимости.
Таблица 1 – Таблица-алгоритм определения класса защищенности
Вид опасности
|
Нарушаемое свойство безопасности
|
Характер чрезвычайной ситуации
|
Степень ущерба |
Категория значимости
|
Итоговая категория значимости
|
Сбой работы техники |
Целостность |
Локальных характер |
Низкая |
2 |
КЗ 3 |
Доступность |
Локальный характер |
Низкая |
|||
Конфиденциальность |
Региональный характер |
Средняя |
|||
Утечка информации |
Целостность |
Межрегиональный характер |
Высокая |
3 |
|
Доступность |
Межрегиональный характер |
Высокая |
|||
Конфиденциальность |
Межрегиональный характер |
Высокая |
Таким образом, категория значимости относится к классу.
Вывод: в компании «Оптик плюс групп» реализована защита по классу K3 ГИС, по уровню защиты 1 ИСПДн-И. Бизнес-процессы компании относятся к критическим и имеют категорию значимости 3.