1.3. Актуальные угрозы безопасности ИСПДн
1.3.1. Уровень исходной защищенности ИСПДн
Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1).
Таблица 3. Уровень исходной защищенности
Технические и эксплуатационные характеристики ИСПДн | Наличие |
1. По территориальному размещению: | |
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | |
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | |
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | |
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | |
локальная ИСПДн, развернутая в пределах одного здания. | + |
2. По наличию соединения с сетями общего пользования: | |
ИСПДн, имеющая многоточечный выход в сеть общего пользования; | |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; | |
ИСПДн, физически отделенная от сети общего пользования. | + |
3. По встроенным (легальным) операциям с записями баз персональных данных: | |
чтение, поиск; | |
запись, удаление, сортировка; | |
модификация, передача. | + |
4. По разграничению доступа к персональным данным: | |
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; | + |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | |
ИСПДн с открытым доступом. | |
5. По наличию соединений с другими базами ПДн иных ИСПДн: | |
интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); | |
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн. | + |
6. По уровню (обезличивания) ПДн: | |
ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); | |
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; | |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн). | + |
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |
ИСПДн, предоставляющая всю БД с ПДн; | |
ИСПДн, предоставляющая часть ПДн; | + |
ИСПДн, не предоставляющие никакой информации. |
В соответствии с Таблицей 3 Y1 = 5.
ИСПДн имеет среднюю степень исходной защищенности.
1.3.2. Вероятность реализации угроз ИСПДн
Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вероятность (Y2) определяется по 4 вербальным градациям этого показателя:
Таблица 4. Вероятность реализации угроз
Градация | Описание | Вероятность (Y2) |
Маловероятно | отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся); | 0 |
Низкая вероятность | объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации); | 2 |
Средняя вероятность | объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны; | 5 |
Высокая вероятность | объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. | 10 |
По итогам оценки уровня исходной защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы рассчитывается по формуле: Y = (Y1 + Y2) / 20.
1.3.3. Опасность реализации угроз ИСПДн
Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет 3 значения:
Низкая, если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных
Средняя, если реализация угрозы может привести к негативным последствиям для субъектов персональных данных