Особенности
классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных
Особенности
классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных
В Т О Р А Я
Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации.
Т Р Е Т Ь Я
Однопользовательская
АС, с информацией одного уровня конфиденциальности.
9 КЛАССОВ
ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА:
1 Б
1 А
2 Б
2 А
3 Б
3 А
1 В
1 Г
1 Д
3 ГРУППЫ АС:
Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн
Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн
с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн
Порядок проведения классификации информационных систем персональных данных
Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.
Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
незапланированных финансовых или материальных затратах субъекта;
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).
Порядок проведения классификации информационных систем персональных данных
«Порядок проведения классификации информационных систем персональных данных»
Проведение классификации информационных систем включает в себя следующие этапы:
Порядок проведения классификации информационных систем персональных данных
Исходные данные для проведения классификации информационной системы
Категории обрабатываемых в информационной системе персональных данных –
Хпд
Порядок проведения классификации информационных систем персональных данных
В зависимости от объема Хнпд может принимать следующие значения:
«Порядок проведения классификации информационных систем персональных данных»
Типовые информационные системы
- информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных
Порядок проведения классификации информационных систем персональных данных
КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Классификация угроз безопасности персональных данных
по видам возможных источников угроз;
по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
по виду несанкционированных действий, осуществляемых с ПДн;
по способам реализации угроз;
по виду каналов, с использованием которых реализуются те или иные угрозы.
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Для оценки возможности реализации угрозы применяются два показателя:
уровень (степень) исходной защищенности ИСПДн
частота (вероятность) реализации рассматриваемой угрозы
2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.
3. ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
0 - для высокой степени исходной защищенности;
5 - для средней степени исходной защищенности;
10 - для низкой степени исходной защищенности.
- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО
- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО
высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты
низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации)
средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны
0 - для маловероятной угрозы;
2 - для низкой вероятности угрозы;
5 - для средней вероятности угрозы;
10 - для высокой вероятности угрозы.
0 < Y < 0,3 - возможность реализации угрозы низкая;
0,3 < Y < 0,6 - возможность реализации угрозы средняя;
0,6 < Y < 0,8 - возможность реализации угрозы высокая;
Y > 0,8 - возможность реализации угрозы
очень высокая.
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
Постановление Правительства РФ
от 17 ноября 2007 г. № 781
П О Л О Ж Е Н И Е
об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
ОФИЦИАЛЬНЫЙ САЙТ ФСТЭК РОССИИ
fstec.ru
Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:
Email: Нажмите что бы посмотреть