Определение класса защиты для гис
В компании «НАГ» в процессе работы обрабатываются конфиденциальная информация о клиентах и сотрудниках, сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности.
Компания «НАГ» обрабатывает два вида информации: персональные данные и коммерческая тайна. В соответствии с Приказом ФСТЭК №17 от 11 февраля 2013 года в этом случае уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям УЗ каждого вида информации. Оба вида информации, обрабатываемой в компании, имеют средний уровень значимости (УЗ 2), так как для каждого свойства безопасности информации и каждого её вида определена средняя степень ущерба и нет ни одного свойства, для которого определена высокая. Оба вида имеют средний уровень значимости, поэтому итоговый уровень значимости также УЗ 2.
Информационная система, используемая в компании «НАГ», имеет региональный масштаб, так как она функционирует только на территории ЦФО (на территории Российской Федерации).
Класс защищенности ГИС (К1, К2, К3) определяется от уровня значимости информации, обрабатываемой в этой информационной системе, и масштаба информационной системы.
Так как компании «НАГ» имеет региональный масштаб и средний уровень значимости информации УЗ 2, то её класс защиты K2 (из таблицы приказа ФСТЭК России от 15.02.2017, Рисунок 1).
Рисунок 1 — Уровень значимости информации
Показатели исходной защищенности испДн
Уровень исходной защищенности ИСПДн определяется в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году.
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
Высокий |
Средний |
Низкий |
|
1. По территориальному размещению: |
|
|
|
локальная ИСПДн, развернутая в пределах одного здания |
+ |
– |
– |
2. По наличию соединения с сетями общего пользования: |
|
|
|
ИСПДн, имеющая одноточечный выход в сеть общего пользования; |
– |
+ |
– |
3. По встроенным (легальным) операциям с записями баз персональных данных: |
|
|
|
чтение, поиск; |
+ |
– |
– |
4.По разграничению доступа к персональным данным: |
|
|
|
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
–
|
+
|
–
|
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
Высокий |
Средний |
Низкий |
|
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
|
|
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн |
+ |
–
|
–
|
6. По уровню обобщения (обезличивания) ПДн: |
|
|
|
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); |
+ |
– |
– |
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: |
|
|
|
ИСПДн, не предоставляющая никакой информации. |
+ |
– |
– |
ИТОГО |
|
|
|
В результате анализа, ИСПДн имеет высокий уровень исходной защищённости, так как не менее 70% характеристик ИСПДн соответствуют уровню «высокий».
Уровень защищённости персональных данных определяется по таблице представленной ниже
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
ИСПДн-С более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
УЗ 1 |
УЗ 1 |
УЗ 2 |
ИСПДн-С сотрудников оператора или специальные категории персональных данных менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора ИСПДн-Б |
УЗ 1 |
УЗ 2 |
УЗ 3 |
ИСПДн-И более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
УЗ 1 |
УЗ 2 |
УЗ 3 |
ИСПДн-И данных сотрудников оператора или иные категории ПДн менее чем 100000 субъектов ПДн, не являющихся сотрудниками оператора |
УЗ 1 |
УЗ 3 |
УЗ 4 |
ИСПДн-О более чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
УЗ 2 |
УЗ 2 |
УЗ 4 |
ИСПДн-О сотрудников оператора или общедоступные ПДн менее чем 100 000 субъектов ПДн, не являющихся сотрудниками оператора |
УЗ 2 |
УЗ 3 |
УЗ 4 |
Таким образом, для ПДн для организации «НАГ» соответствует уровню УЗ 3 защищённости.
КИИ
Компания «НАГ» принадлежит ИС, однако вид её деятельности не является критически важным.
Стадии производственного процесса |
Бизнес-процесс |
Являются ли бизнес-процессы критическим |
Взаимодействие компании с поставщиком |
Исследование рынка поставщиков |
Нет |
Поиск конкретных поставщиков |
||
Переговоры |
||
Составление отчетности по связям с поставщиками |
||
Формирование заказа |
Планирование закупок |
Нет |
Заключение договоров с поставщиками |
||
Закупка товара |
Исполнение закупки товара
|
Нет |
Взаимодействие с клиентами |
Исследование рынка потенциальных покупателей |
Нет |
Поиск оптовых покупателей |
||
Переговоры |
||
Подача рекламы |
||
Представление фирмы в бизнес-кругах |
||
Составление отчетности по связям с покупателями |
||
Контроль за выполнением вышеуказанных задач |
||
Поступление заказа |
Оформление заказов |
Нет |
Заключение договоров купли-продажи |
||
Принятие решения об исполнении заказа |
||
Исполнение заказа |
Выдача необходимого товара покупателю |
Нет |
Отправка заказа курьером |
||
Бухгалтерский учёт |
Ведение расчетных работ |
Нет |
Расчет заработной платы |
||
Расчет налогов |
||
Расчет прибыли, затрат |
||
Работа с банком |
||
Обработка и хранение необходимой документации |
||
Общее руководство |
Осуществление общего руководства |
Нет |
Контроль за деятельностью фирмы |
||
Общее стратегическое руководство |
||
Решение вопросов финансового обеспечения |
||
Подбор кадров, учет личного состава, прием и увольнение сотрудников |
||
Техническое обеспечение |
Техническая поддержка офисного оборудования |
Нет |
Оптимизация и продвижение приложения сервиса |
||
Расширение функциональных возможностей сервиса |
Как видно из таблицы выше, компания «НАГ» не имеет критических бизнес-процессов, поэтому нет необходимости рассчитывать категорию её значимости, так расчёт производится исключительно для критически значимых бизнес-процессов.