2.2. Классификация испДн
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
При проведении классификации информационной системы учитываются следующие исходные данные:
категория обрабатываемых в информационной системе персональных данных – ХПД;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) – ХНПД.
Определяются следующие категории обрабатываемых в информационной системе персональных данных (ХПД):
категория 1 – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 – персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1 (практически любые ПДн, обрабатываемые в ИСПДн, имеют категорию, не ниже, чем 2, т.к. в противном случае база данных просто не имеет смысла);
категория 3 – персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 – обезличенные и (или) общедоступные персональные данные.
Замечание. Трудно себе на практике представить базы ПДн категорий 3 и 4 (такие базы просто не нужны).
В зависимости от объема обрабатываемых в ИСПДн персональных данных (ХНПД) может принимать следующие значения:
1 – в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;
2 – в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов ПДн или персональные данные субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
3 – в информационной системе одновременно обрабатываются персональные данные менее чем 1000 субъектов ПДн или персональные данные субъектов ПДн в пределах конкретной организации.
Обратим внимание, что для 3 следовало бы использовать «и», а не «или».
Класс информационной системы определяется в соответствии с табл. 2.1.
Таблица 2.1
Определение класса ИСПДн
Х ХПД
|
3 |
2 |
1 |
категория 4
|
К4 |
К4 |
К4 |
категория 3 |
К3 |
К3 |
К2 |
категория 2 |
К3 |
К2 |
К1 |
категория 1 |
К1 |
К1 |
К1 |
НПД
С учетом предыдущего замечания можем сделать вывод, что системы класса К3 – это только те, в которых обрабатываются персональные данные менее чем 1000 субъектов ПДн, причем только в рамках одного предприятия, системы класса К1 – это системы, характеризуемые либо качественной особенность обрабатываемых ПДн - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, либо характеризуемые тем, в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов ПДн или персональные данные субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, остальные же системы, а их подавляющая часть, относятся к классу К2.
Классы характеризуются следующим образом:
Класс 1 (К1) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов ПДн;
Класс 2 (К2) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов ПДн;
Класс 3 (К3) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов ПДн;
Класс 4 (К4) – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов ПДн.
Как видим, проведением подобной классификации ИСПДн формально (без использования экспертной оценки) задается вербальная оценка стоимости потерь:
значительные негативные последствия для субъектов ПДн;
негативные последствия для субъектов ПДн;
незначительные негативные последствия для субъектов ПДн;
отсутствуют негативные последствия для субъектов ПДн.
Однако здесь не все так просто, о чем поговорим далее.
Другая важнейшая классификация ИСПДн – это типовые и специальные ИСПДн.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной системе, информационные системы подразделяются на типовые и специальные информационные системы.
Типовые информационные системы – информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные информационные системы – информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть в обязательном порядке отнесены:
информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов ПДн;
информационные системы, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
Данная классификация введена для учета при последующем построении модели угроз, которая должна рассматривать либо только угрозы раскрытия конфиденциальности ПДн (типовая), либо, кроме того, обеспечения их целостности (неискаженности) и доступности.
Замечание. Здесь необходимо отметить, что практически любая ИСПДн (если в ней обрабатывается более нескольких десятков записей) относится к специальной.
Как видим, выше максимально упрощена и формализована процедура определения «стоимости» потерь. Рассмотрим достоинства и недостатки подобного подхода.
Достоинства:
Предельная простота определения «стоимости» потерь, не требующая каких-либо экспертных оценок.
Недостатки:
В явном виде не введено количественно оценки стоимости потерь, нет понятия удельной стоимости. При этом очевидно, что потери от хищения ПДн одного человека, либо, скажем, 10000, различны. Как это учитывается? А это напрямую связано с вопросом актуальности угрозы. Например, одна и та же атака (т.е. реализация одной и той же угрозы) на сервер (где хранится база ПДн) и на рабочую станцию, с точки зрения потенциальных потерь, кардинально различается своей актуальностью.
Замечание. Не смотря на отсутствие в документе в явном виде количественной оценки «стоимости» потерь от угроз, на наш взгляд, она следует собственно из классификации систем обработки ПДн, и сводится к следующему:
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, вне зависимости от их объемов, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно более чем 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, имеет значительные негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно от 1000 до 100 000 субъектов или одновременно персональных данных субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом, вне зависимости от их объемов, имеет негативные последствия для субъектов ПДн;
Атака, потенциально приводящая к нарушению конфиденциальности персональных данных, одновременно менее чем 1000 субъектов, причем это персональные данные субъектов в пределах конкретной организации, имеет незначительные негативные последствия для субъектов ПДн.
Замечание. Достоинство подобной классификации состоит в том, что она позволяет охарактеризовать конкретную атаку с учетом потенциальных последствий от ее реализации, т.е. может использоваться для оценки опасности конкретных угроз при выявлении их актуальности.