- •230201 20070041 006 Пз
- •Введение
- •Описание организации
- •Перечень необходимых организационных мероприятий
- •Перечень конфиденциальной информации
- •Топология информационной системы обработки информации
- •Помещения для обработки конфиденциальной информации
- •Положение по организации и проведению работ по обеспечению безопасности конфиденциальной информации
- •Классификация системы обработки информации
- •Оценка исходной защищенности системы
- •Модель нарушителя
- •Заключение
Классификация системы обработки информации
Для рассматриваемой системы применима категоризация защищенной информации сходная по своему принципу с категоризацией персональных данных. Исходя из того, что нарушение конфиденциальности данных обрабатываемых в системе может привести к существенным негативным последствиям для предприятий имеющим отношение к этой информации, этой информации присваивается категория 1.
На основании таблицы № 2 и 3 комиссия состоящая из начальников отделов, связанных с обработкой информации присвоила рассматриваемой системе класс К1.
Таблица №2. Классификация системы обработки информации
|
Хпд/Хнпд |
<1000 |
от 1000 до 100 000 |
>100 000 |
|
Категория 4 |
К4 |
К4 |
К4 |
|
Категория 3 |
К3 |
К3 |
К2 |
|
Категория 2 |
К3 |
К2 |
К1 |
|
Категория 1 |
К1 |
К1 |
К1 |
Таблица №3. Исходные данные для классификации
|
№ |
Параметр оценки |
Значение параметра |
|
2 |
Категория защищенной информации |
Категория 1 |
|
1 |
Объём обрабатываемых ПДн |
3 |
|
2 |
Заданные характеристики ПДн |
Специальная |
|
3 |
Структура информационной системы |
Локальная |
|
4 |
Наличие подключений к сетям общего пользования |
Да |
|
5 |
Режим обработки ПДн |
Многопользовательский |
|
6 |
Режим разграничения прав доступа |
С разграничением прав доступа |
|
7 |
Местонахождения технических средств |
В пределах РФ |
Частная модель угроз
Оценка исходной защищенности системы
Для разработки модели угроз необходимо оценить степень исходной защищенности системы. Для этого применим методику для персональных данных к нашей системе:
Таблица №4. Показатели исходной защищенности
|
№ |
Технические и эксплуатационные характеристики |
Уровень защищенности |
|
1 |
По территориальному размещению: Локальная информационная система, развернутая в пределах одного здания |
Высокий |
|
2 |
По наличию соединения с сетями общего пользования: система, имеющая одноточечный выход в сеть общего пользования |
Средний |
|
3 |
По встроенным (легальным) операциям с записями баз персональных данных: запись, удаление, сортировка |
Средний |
|
4 |
По разграничению доступа к персональным данным: система, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем системы |
Средний |
|
5 |
По наличию соединений с другими базами данных иных систем: одна база данных, принадлежащая организации – владельцу данной системы |
Высокий |
|
6 |
По уровню обобщения (обезличивания) ПДн: система, в которой предоставляемые пользователю данные не являются обезличенными |
Низкий |
|
7 |
По объему данных, которые предоставляются сторонним пользователям системы без предварительной обработки: система, не предоставляющая никакой информации. |
Высокий |
Рассматриваемая система имеет средний (Y1) уровень исходной защищенности, так как не менее 70% характеристик системы соответствуют уровню не ниже «средний», а остальные – низкому уровню защищенности.