Технические и эксплуатационные |
|
Уровень защищенности |
|
|||||||||
характеристики ИСПДн |
|
|
|
|
|
|
|
|||||
|
Высокий |
|
|
Средний |
|
Низкий |
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
1. По территориальному размещению: |
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
распределенная |
ИСПДн, |
которая |
|
|
|
|
|
|
|
|||
охватывает |
несколько |
областей, |
|
|
|
|
|
|
|
|||
краев, округов или государство в |
|
- |
|
|
- |
|
+ |
|||||
|
|
|
|
|
|
|
||||||
целом; |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
городская |
ИСПДн, |
охватывающая |
|
|
|
|
|
|
|
|||
не более одного населенного пункта |
|
- |
|
|
- |
|
+ |
|||||
|
|
|
|
|
|
|
|
|
|
|||
(города, поселка); |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|||
корпоративная |
|
распределенная |
|
|
|
|
|
|
|
|||
ИСПДн, |
|
охватывающая |
многие |
|
- |
|
|
+ |
|
- |
||
|
|
|
|
|
|
|
|
|
|
|||
подразделения одной организации; |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|||||
локальная (кампусная) ИСПДн, |
|
|
|
|
|
|
|
|||||
развернутая в пределах нескольких |
|
- |
|
|
+ |
|
- |
|||||
|
|
|
|
|
|
|
|
|
|
|||
близко расположенных зданий |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|||
локальная |
ИСПДн, |
развернутая в |
|
|
|
|
|
|
|
|||
пределах одного здания |
|
|
+ |
|
|
- |
|
- |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
2. По наличию соединения с сетями общего пользования: |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
имеющая |
многоточечный |
|
|
|
|
|
|
|
|||
выход в сеть общего пользования |
|
- |
|
|
- |
|
+ |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|||
ИСПДн, |
имеющая |
одноточечный |
|
|
|
|
|
|
|
|||
выход в сеть общего пользования; |
|
- |
|
|
+ |
|
- |
|||||
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
физически отделенная от |
|
|
|
|
|
|
|
||||
сети общего пользования |
|
|
+ |
|
|
- |
|
- |
||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|||||||||
3. По встроенным (легальным) операциям с записями баз персональных данных: |
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
чтение, поиск; |
|
|
|
|
+ |
|
|
- |
|
- |
||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|||||
запись, удаление, сортировка; |
|
- |
|
|
+ |
|
- |
|||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
модификация, передача |
|
|
- |
|
|
- |
|
+ |
||||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|||||||
4. По разграничению доступа к персональным данным: |
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн, |
|
к |
которой |
имеют |
|
|
|
|
|
|
|
|
доступ |
определенные |
перечнем |
|
- |
|
|
+ |
|
- |
|||
|
|
|
|
|
|
|
|
|
|
|||
сотрудники |
|
организации, |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
являющейся |
владельцем ИСПДн, |
|
|
|
либо субъект персональных данных; |
|
|
|
|
|
|
|
|
|
ИСПДн, к которой имеют доступ все |
|
|
|
|
сотрудники |
организации, |
- |
- |
+ |
|
|
|||
являющейся владельцем ИСПДн; |
|
|
|
|
|
|
|
|
|
ИСПДн с открытым доступом |
- |
- |
+ |
|
|
|
|||
|
|
|
|
|
5. По наличию соединений с другими базами персональных данных иных ИСПДн:
интегрированная |
|
|
ИСПДн |
|
|
|
|
||
(организация использует несколько |
|
|
|
|
|||||
баз персональных данных ИСПДн, |
|
|
|
|
|||||
при этом организация не является |
- |
|
- |
+ |
|||||
|
|
|
|
||||||
владельцем всех используемых баз |
|
|
|
|
|||||
персональных данных); |
|
|
|
|
|
|
|||
|
|
|
|
|
|||||
ИСПДн, в которой используется |
|
|
|
|
|||||
одна база |
персональных |
данных, |
|
|
|
|
|||
принадлежащая |
|
организации |
– |
+ |
|
- |
- |
||
|
|
|
|
|
|||||
владельцу данной ИСПДн |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
6. По уровню обобщения (обезличивания) персональных данных: |
|
||||||||
|
|
|
|
|
|
|
|
|
|
ИСПДн, в которой предоставляемые |
|
|
|
|
|||||
пользователю |
данные |
являются |
|
|
|
|
|||
обезличенными |
|
(на |
уровне |
+ |
- |
- |
|||
|
|
|
|
|
|
||||
организации, отрасли, области, |
|
|
|
|
|||||
региона и т.д.); |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
ИСПДн, |
в |
которой |
данные |
|
|
|
|
||
обезличиваются |
|
только |
при |
|
|
|
|
||
передаче в другие организации и не |
- |
+ |
- |
||||||
|
|
|
|
|
|
||||
обезличены |
при |
предоставлении |
|
|
|
|
|||
пользователю в организации; |
|
|
|
|
|
||||
|
|
|
|
|
|||||
ИСПДн, в которой предоставляемые |
|
|
|
|
|||||
пользователю данные не являются |
|
|
|
|
|||||
обезличенными |
(т.е. присутствует |
|
|
|
|
||||
информация, |
|
позволяющая |
- |
|
- |
+ |
|||
|
|
|
|
|
|||||
идентифицировать |
|
субъекта |
|
|
|
|
|||
персональных данных) |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
7. По объему персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, предоставляющая всю базу |
|
|
|
|
|
данных с персональными данными; |
- |
|
- |
+ |
|
|
|
|
|
||
|
|
|
|
|
|
ИСПДн, |
предоставляющая часть |
|
|
|
|
персональных данных; |
- |
|
+ |
- |
|
|
|
|
|
||
|
|
|
|
|
|
ИСПДн, |
не предоставляющая |
|
|
|
|
никакой информации. |
+ |
|
- |
- |
|
|
|
|
|
||
|
|
|
|
|
|
Итого |
|
29% |
|
57% |
14% |
|
|
|
|||
|
|
|
|
|
|
|
|
|
86% |
|
|
|
|
|
|
|
|
В результате анализа, представленного в таблице 2, ИСПДн имеет
средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные
– низкому уровню защищенности).
Персональные данные, которые обрабатывает ЭБС НГУ: фамилия, имя, отчество, дата рождения, номер учебной группы.
Согласно постановлению правительства РФ №1119 «Информационная система является информационной системой, обрабатывающей общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со статьей 8 Федерального закона "О персональных данных".»
Согласно статье 8 «В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес,
абонентский номер, сведения о профессии и иные персональные данные,
сообщаемые субъектом персональных данных.»
Следовательно ИСПДн ЭБС НГУ обрабатывает данные, относящиеся к
категории общедоступные – ИСПДн-О.
Уровень защищенности ПДн определяется в таблице 3.
Таблица 3 – Уровни защищенности персональных данных
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
|||
|
|
|
|
|
|
|
ИСПДн-С более чем 100 |
|
|
|
|
|
|
000 субъектов ПДн, не |
|
|
|
|
|
|
|
УЗ 1 |
УЗ 1 |
УЗ 2 |
|||
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-С сотрудников |
|
|
|
|
|
|
оператора или специальные |
|
|
|
|
|
|
категории персональных |
|
|
|
|
|
|
данных менее чем 100 |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|||
000 субъектов ПДн, не |
|
|
|
|
|
|
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-Б |
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
|
|
|
|
|||
|
|
|
|
|
|
|
ИСПДн-И более чем 100 |
|
|
|
|
|
|
000 субъектов ПДн, не |
|
|
|
|
|
|
|
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-И данных |
|
|
|
|
|
|
сотрудников оператора или |
|
|
|
|
|
|
иные категории ПДн менее |
УЗ 1 |
|
УЗ 3 |
|
УЗ 4 |
|
|
|
|
|
|||
чем 100000 субъектов ПДн, |
|
|
|
|
|
|
не являющихся |
|
|
|
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-О более чем 100 |
|
|
|
000 субъектов ПДн, не |
УЗ 2 |
УЗ 2 |
УЗ 4 |
|
|||
являющихся сотрудниками |
|
|
|
оператора |
|
|
|
|
|
|
|
ИСПДн-О сотрудников |
|
|
|
оператора или |
|
|
|
общедоступные ПДн менее |
|
|
|
чем 100 000 субъектов ПДн, |
УЗ 2 |
УЗ 3 |
УЗ 4 |
|
|
|
|
не являющихся |
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
Таким образом, в соответствии с таблицей 3, для ПДн в ЭБС НГУ характерен уровень защищенности УЗ 2.
В соответствии с ФЗ «О безопасности критической информационной инфраструктуры РФ» «Субъекты критической информационной инфраструктуры - государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы,
информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения,
науки, транспорта, связи, энергетики, государственной регистрации прав на недвижимое имущество и сделок с ним, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в
области атомной энергии, оборонной, ракетно-космической,
горнодобывающей, металлургической и химической промышленности,
российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.»
Так как ЭБС НГУ функционирует в сфере науки, она относится к
КИИ, а именно: электронные образовательные и научные материалы,
содержащиеся на файловом сервере и их метаданные,
содержащиеся на сервере БД.
На рисунке 3 представлено деление элементов ЭБС НГУ на сегменты.
Рисунок 3 – Деление ЭБС НГУ на сегменты
6.Заключение о степени защищенности
По итогам выполнения спецификации объекта защиты, ЭБС и локальной сети библиотеки НГУ, было проведено описание, представлены структура и схема объекта. Описаны технические характеристики, состав и доступ
персонала, права доступа к сети, базовые пункты по обеспечению безопасности объекта.
Оценка защищенности системы проведена по методике С.В. Вихорева,
наиболее приоритетными целями ИБ для оцениваемого объекта являются «Конфиденциальность» и «Доступность».
Проведена оценка уровня исходной защищенности ИСПДн по методике ФСТЭК – уровень средний.
Проведено деление системы на сегменты: объект КИИ, ИСПДн и сегмент общего доступа. Для сегмента КИИ определена и функционирует система физической защиты, для сегмента ИСПДн функционирует физическая защита, но требуется построение защиты при выходе в глобальную сеть (сайт ЭБС).