9.Показатели исходной защищенности ИСПДн
Согласно документу ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 2.
Таблица 2 – Показатель исходного уровня защищенности ИСПДн
Технические и эксплуатационные |
|
|
Уровень защищенности |
|
|||||||||
характеристики ИСПДн |
|
|
|
|
|
|
|
|
|||||
|
|
|
Высокий |
|
Средний |
|
Низкий |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1. По территориальному размещению: |
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
распределенная |
ИСПДн, |
которая |
|
|
|
|
|
|
|||||
охватывает |
несколько |
областей, |
|
|
|
|
|
|
|||||
краев, округов или государство в |
|
- |
|
- |
|
+ |
|||||||
|
|
|
|
|
|
||||||||
целом; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
городская |
ИСПДн, |
охватывающая |
|
|
|
|
|
|
|||||
не более одного населенного пункта |
|
- |
|
- |
|
+ |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|||
(города, поселка); |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||
корпоративная |
|
распределенная |
|
|
|
|
|
|
|||||
ИСПДн, |
|
охватывающая |
многие |
|
- |
|
+ |
|
- |
||||
|
|
|
|
|
|
|
|
|
|
|
|||
подразделения одной организации; |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
||||||
локальная (кампусная) ИСПДн, |
|
|
|
|
|
|
|||||||
развернутая в пределах нескольких |
|
- |
|
+ |
|
- |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|||
близко расположенных зданий |
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|||
локальная |
ИСПДн, |
развернутая |
в |
|
|
|
|
|
|
|
|||
пределах одного здания |
|
|
|
|
+ |
|
- |
|
- |
||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2. По наличию соединения с сетями общего пользования: |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
имеющая многоточечный |
|
|
|
|
|
|
||||||
выход в сеть общего пользования |
|
|
|
- |
|
- |
|
+ |
|||||
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
||||
ИСПДн, |
имеющая |
одноточечный |
|
|
|
|
|
|
|
||||
выход в сеть общего пользования; |
|
|
|
- |
|
+ |
|
- |
|||||
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
физически |
отделенная |
от |
|
|
|
|
|
|
||||
сети общего пользования |
|
|
|
|
+ |
|
- |
|
- |
||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|||||||||
3. По встроенным (легальным) операциям с записями баз персональных данных: |
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
чтение, поиск; |
|
|
|
|
|
|
+ |
|
- |
|
- |
||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||||
запись, удаление, сортировка; |
|
|
|
- |
|
+ |
|
- |
|||||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
модификация, передача |
|
|
|
|
- |
|
- |
|
+ |
||||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|||||||
4. По разграничению доступа к персональным данным: |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
|
к |
которой |
имеют |
|
|
|
|
|
|
|
||
доступ |
определенные |
перечнем |
|
|
- |
|
+ |
|
- |
||||
|
|
|
|
|
|
|
|
|
|
|
|||
сотрудники |
|
организации, |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
являющейся |
владельцем ИСПДн, |
|
|
|
либо субъект персональных данных; |
|
|
|
|
|
|
|
|
|
ИСПДн, к которой имеют доступ все |
|
|
|
|
сотрудники |
организации, |
- |
- |
+ |
|
|
|||
являющейся владельцем ИСПДн; |
|
|
|
|
|
|
|
|
|
ИСПДн с открытым доступом |
- |
- |
+ |
|
|
|
|||
|
|
|
|
|
5. По наличию соединений с другими базами персональных данных иных ИСПДн:
интегрированная |
|
|
ИСПДн |
|
|
|
||
(организация использует несколько |
|
|
|
|||||
баз персональных данных ИСПДн, |
|
|
|
|||||
при этом организация не является |
- |
- |
+ |
|||||
|
|
|
||||||
владельцем всех используемых баз |
|
|
|
|||||
персональных данных); |
|
|
|
|
|
|||
|
|
|
|
|||||
ИСПДн, в которой используется |
|
|
|
|||||
одна база |
персональных |
данных, |
|
|
|
|||
принадлежащая |
|
организации |
– |
+ |
- |
- |
||
|
|
|
|
|||||
владельцу данной ИСПДн |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
6. По уровню обобщения (обезличивания) персональных данных: |
|
|||||||
|
|
|
|
|
|
|
|
|
ИСПДн, в которой предоставляемые |
|
|
|
|||||
пользователю |
данные |
являются |
|
|
|
|||
обезличенными |
|
(на |
уровне |
+ |
- |
- |
||
|
|
|
|
|
|
|||
организации, отрасли, области, |
|
|
|
|||||
региона и т.д.); |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ИСПДн, |
в |
которой |
данные |
|
|
|
||
обезличиваются |
|
только |
при |
|
|
|
||
передаче в другие организации и не |
- |
+ |
- |
|||||
|
|
|
|
|
|
|||
обезличены |
при |
предоставлении |
|
|
|
|||
пользователю в организации; |
|
|
|
|
||||
|
|
|
|
|||||
ИСПДн, в которой предоставляемые |
|
|
|
|||||
пользователю данные не являются |
|
|
|
|||||
обезличенными |
(т.е. присутствует |
|
|
|
||||
информация, |
|
позволяющая |
- |
- |
+ |
|||
|
|
|
|
|||||
идентифицировать |
|
субъекта |
|
|
|
|||
персональных данных) |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
7. По объему персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу |
|
|
|
|
|
данных с персональными данными; |
- |
|
- |
+ |
|
|
|
|
|
||
|
|
|
|
|
|
ИСПДн, |
предоставляющая часть |
|
|
|
|
персональных данных; |
- |
|
+ |
- |
|
|
|
|
|
||
|
|
|
|
|
|
ИСПДн, |
не предоставляющая |
|
|
|
|
никакой информации. |
+ |
|
- |
- |
|
|
|
|
|
||
|
|
|
|
|
|
Итого |
|
29% |
|
57% |
14% |
|
|
|
|||
|
|
|
|
|
|
|
|
|
86% |
|
|
|
|
|
|
|
|
В результате анализа, представленного в таблице 2, ИСПДн имеет
средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные
– низкому уровню защищенности).
Персональные данные, которые обрабатывает ЭБС НГУ: фамилия, имя, отчество, дата рождения, номер учебной группы.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".»
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес,
абонентский номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных.»
Следовательно ИСПДн ЭБС НГУ обрабатывает данные, относящиеся к
категории общедоступные – ИСПДн-О.
Уровень защищенности ПДн определяется в таблице 3.
Таблица 3 – Уровни защищенности персональных данных
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
|||
|
|
|
|
|
|
|
ИСПДн-С более чем 100 |
|
|
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
УЗ 1 |
УЗ 2 |
|||
|
||||||
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-С сотрудников |
|
|
|
|
|
|
оператора или специальные |
|
|
|
|
|
|
категории персональных |
|
|
|
|
|
|
данных менее чем 100 |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|||
000 субъектов ПДн, не |
|
|
|
|
|
|
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-Б |
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
|
|
|
|
|||
|
|
|
|
|
|
|
ИСПДн-И более чем 100 |
|
|
|
|
|
|
|
|
|
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
|
|
|
|
|||
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-И данных |
|
|
|
|
|
|
|
|
|
|
|
|
|
сотрудников оператора или |
|
|
|
|
|
|
иные категории ПДн менее |
УЗ 1 |
|
УЗ 3 |
|
УЗ 4 |
|
|
|
|
|
|||
чем 100000 субъектов ПДн, |
|
|
|
|
|
|
не являющихся |
|
|
|
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-О более чем 100 |
|
|
|
000 субъектов ПДн, не |
УЗ 2 |
УЗ 2 |
УЗ 4 |
|
|||
являющихся сотрудниками |
|
|
|
оператора |
|
|
|
|
|
|
|
ИСПДн-О сотрудников |
|
|
|
оператора или |
|
|
|
общедоступные ПДн менее |
|
|
|
чем 100 000 субъектов ПДн, |
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
|
|
|
не являющихся |
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
Таким образом, в соответствии с таблицей 3, для ПДн в ЭБС НГУ характерен уровень защищенности УЗ 2.
В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы,
информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения,
науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в
области атомной энергии, оборонной, ракетно-космической,
горнодобывающей, металлургической и химической промышленности,
российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»
Так как ЭБС НГУ функционирует в сфере науки, она относится к
КИИ, а именно: электронные образовательные |
и |
научные материалы, |
||
содержащиеся на |
файловом сервере |
и |
их |
метаданные, |
содержащиеся на сервере БД.