Состав, категории и объем персональных данных, определение уровня защищенности персональных данных
Перечень обозначений и сокращений
1.1. АРМ - автоматизированное рабочее место;
1.2. ИР - информационный ресурс;
1.3. ИСПДн - информационная система персональных данных;
1.4. КЗ - контролируемая зона;
1.5. ПДн - персональные данные;
1.6. ПО - программное обеспечение;
1.7. ПТС - программно-технические средства;
1.8. ПЭМИН - побочные электромагнитные излучения и наводки;
1.9. СЗИ - средства защиты информации;
1.10. СКЗИ - средства криптографической защиты информации;
1.11. ФСБ - Федеральная служба безопасности;
1.12. ФСО - Федеральная служба охраны;
1.13. ФСТЭК - Федеральная служба по техническому и экспертному контролю.
Общие положения
Настоящая модель угроз безопасности персональных данных (далее – Модель) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в ИСПДн ЗАО «ХХХ» (далее – Организация). Указанные угрозы могут исходить от источников, имеющих антропогенный, техногенный и стихийный характер и воздействующих на уязвимости ИСПДн, характерные для данной ИСПДн, реализуя тем самым угрозы информационной безопасности.
В Модели дается обобщенное описание ИСПДн, состав, категории и предполагаемый объем обрабатываемых ПДн с последующей классификацией ИСПДн.
Модель описывает потенциального нарушителя безопасности ПДн и подходы по определению актуальности угроз с учетом возможностей нарушителя и особенностей конкретной ИСПДн.
Настоящая Модель разработана в соответствии с требованиями Федерального законодательства и федеральных органов по защите персональных данных.
Характеристика объекта информатизации
В Организации существуют следующие типы ИСПДн:
1. ИСПДн ведения бухгалтерского учета, управления персоналом, расчета заработной платы Организации.
2. ИСПДн передачи информации, в том числе ПДн, в целях исполнения Федеральных законов.
Состав ИСПДн и обрабатываемых в них персональных данных приведен в Приложении №1 к настоящему документу
В качестве объекта информатизации предприятия выступают:
1. Автономные автоматизированные рабочие места (АРМ).
2. Локальные вычислительные сети.
В зависимости от характеристик и особенностей отдельных объектов часть вычислительных средств данных предприятий подключена к сетям связи общего пользования и (или) сетям международного информационного обмена.
Ввод персональных данных осуществляется как с бумажных носителей (например, документов, удостоверяющих личность субъекта ПДн), так и с электронных носителей информации.
ИСПДн предполагают как распределенную (на АРМ), так и централизованную (на выделенных файловых серверах сети) обработку и хранение ПДн.
Персональные данные субъектов ПДн могут выводиться из ИСПДн с целью передачи персональных данных сотрудников Организации, как в электронном, так и в бумажном виде.
Контролируемой зоной (КЗ) ИСПДн являются здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей и места хранения архивных копий данных, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
Состав, категории и объем персональных данных, определение уровня защищенности персональных данных
На основе характеристик и особенностей используемых ИСПДн и обрабатываемых в них персональных данных, можно констатировать, что персональные данные субъектов ПДн, обрабатываются в Организации информационной системой, обрабатывающей общедоступные персональные данные, а также системой, обрабатывающей иные категории персональных данных. Специальные категории персональных данных и биометрические персональные данные в ИСПДн Организации не обрабатываются.
Для ИСПДн Организации актуальны угрозы 2 типа - угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. Согласно подпункту «б» пункта 11 «Требований к защите персональных данных при их обработке в информационных системах персональных данных» для ИСПДн Организации требуется обеспечить 3-ий уровень защищенности персональных данных при их обработке в информационной системе.