9. Показатели исходной защищенности испДн
Согласно документу ФСТЭК «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.
Персональные данные, которые обрабатывает «Вымпел-Ком»: имя, фамилия, дата рождения, номер паспорта или другие идентификационные номера, которые могут использоваться для определения личности клиента.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".»
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.».
Для организации определена ИСПДн-И. Причины установки именно такого типа ИСПДн-И, основывается на: количество сотрудников в центральной организации 82170 сотрудников, о каждом сотруднике собираются данные и отсылаются на сервер баз данных, где уже обрабатываются. Также присутствует специфика сбора и обработки информации сайтом: ЕвроХим имеет сайт для взаимодействия с заказчиками, где используются cookie-файлы, для определения активности, ip-адреса и статистики пользователя, чтобы по собранной информации предлагать человеку информацию в соответствии с его предпочтениями. Хранение большого количества данных о рабочем персонале и о заказчиках, требует систему крупных объемов персональных данных. Так как системы сетей устроены через маршрутизаторы и switch, присутствует централизованная компьютерная инфраструктура и обширной сети по периметру организации. Данные обрабатываются и хранятся в информационных системах. Наличие информационной системы поможет эффективно управлять данными и обеспечить их безопасность в соответствии с требованиями законодательства по защите персональных данных. Также это позволит эффективно управлять доступом к данным, обеспечивать резервное копирование информации, а также мониторинг защищенности сетевой инфраструктуры.
Тип ИСПДн |
Сотрудники оператора |
Количество субъектов |
Тип актуальности угроз |
||
1 |
2 |
3 |
|||
ИСПДн-С |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 1 |
УЗ 2 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-Б |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
||
ИСПДн-И |
Не сотрудники оператора |
|
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
УЗ 1 |
УЗ 3 |
УЗ 3 |
||
Сотрудники оператора |
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 1 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-О |
Не сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
Сотрудники оператора |
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
||
ИСПДн-И содержит информацию о персональных данных сотрудников и иных физических лиц, которые работают в минерально-химической организации. То есть включает в себя данные о сотрудниках, их учетные данные, данные о доходах, медицинские данные и прочую информацию, связанную с личными данными. ИСПДН-И: присутствуют клиентские устройства, такие как компьютеры и рабочие станции сотрудников, используемые для доступа к информационным системам, обработки данных, управления производственными процессами и другими задачами; промышленные роутеры и коммутаторы, которые собирают данные из производственных процессов и передают их в информационную систему.
Состав обрабатываемой информации: персональные данные клиентов, данные о проектах, документы компании, данные сотрудников и т.д.
Доступ к корпоративной сети осуществляется через компьютеры сотрудников, расположенные в офисах предприятия, заявки на заказы принимаются через сайт компании, компьютеры клиентского отдела имеют доступ в интернет.
Сеть состоит из рабочих кабинетов сотрудников, оборудованных ПК, подключенных к сети Интернет, локальной сети; рабочего места системного администратора, имеющего больший доступ к системе: доступ к оборудованию СУБД, администраторской части веб сервера.
Основным ресурсом является информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между пользователями, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».
Определение уровня защищенности
К угрозам второго типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).
К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и спеиального назначения, например, бухгалтерские программы.
К третьему лицу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.
ИСПДн относится к типу ИСПДн-И, в копании есть собственные работнки тип актуальности угроз – 2. Таким образом, уровень защищенности ИСПДн-И УЗ 2.
10.КИИ
Субъекты критической информациионной инфраструктуры – государственные органы, государственные учреждения, российские .ридические лица и (или) индивидуальные предприниматенли, которым на праве собственности, аренды или на ином законном основании принадлежат информационное система (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере дравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иых сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Вид опасности |
Нарущаемое свойство безопасности |
Характер чрезвычайной ситуации |
Степень ущерба |
Категория значимости |
Итоговая категория значимости |
Сбой работы техники |
Целостность |
Локальный |
Низкая |
1 |
K2 |
Доступность |
Локальный |
Низкая |
|||
Конфиденциальность |
Локальный |
Низкая |
|||
Утека информации |
Целостность |
Межрегиональный |
Высокая |
3 |
|
Доступность |
Межрегиональный |
Высокая |
|||
Конфиденциальность |
Межрегиональный |
Высокая |
Синий — открытый сегмент. Оранжевый — сегмент ИСПДн. Красный — сегмент КИИ. К объектам КИИ относятся: Сервера БД, Файловый сервер, ВебСервер