В пределах Российской Федерации

Введение

Данный документ содержит отчет по угрозам и рискам безопасности ИСПДн организации ЗАО «РиК»

Основная часть.

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.

Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн:

Технические и эксплуатационные характеристики ИСПДн	Описание характеристики	Уровень защищенности
1. По территориальному размещению	корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;	Средний
2. По наличию соединения с сетями общего пользования:	ИСПДн, имеющая одноточечный выход в сеть общего пользования;   Сотрудники отдела кадров - ИСПДн, физически отделенная от сети общего пользования	Средний   Высокий     Возьмем минимальный показатель: СРЕДНИЙ
3. По встроенным (легальным) операциям с записями баз персональных данных	Любые операции для сотрудников отдела кадров   Чтение, поиск для сотрудников многих отделов   Запись удаление – для сотрудников отдела кадров и консультантов	Низкий     Высокий   Средний   Возьмем минимальный показатель: НИЗКИЙ
4. По разграничению доступа к персональным данным	ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн	Средний
5. По наличию соединений с другими базами ПДн иных ИСПДн	ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн	Высокий
6. По уровню обобщения (обезличивания) ПДн:	ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации	Средний
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:	ИСПДн, не предоставляющая никакой информации.	Высокий

 

ИТОГО:

· Высокий = 2

· Средний = 4

· Низкий = 1

Исходя из полученных данных ИСПДн организации ЗАО «РиК» имеет средний уровень исходной защищенности

Реализуемость угрозы (Y) определяется соотношением

 

Y=(Y1+Y2)/20

 

Где Y1 – коэффициент исходной защищенности (средняя = 5)

Y2 – коэффициент вероятности угрозы

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

И она равна:

Y = (5+Y2) / 20

Угроза (1):

Кража личных данных из таблиц SAP HR внешним злоумышленником, Y1 = 0.25

Угроза (2):

Доступ к личным данным и их модификация в таблицах SAP HR сотрудниками компании, Y2 = 0.35

Угроза (3):

Доступ к личным данным из таблиц SAP HR консультантами в продуктивной системе, Y3 = 0.5

Угроза (4):

Доступ к устаревшим данным сотрудников в системе разработок SAP HR Y4 = 0.75

Реализуемости угрозы определяется следующим образом:

если 0<=Y<=0.3, то возможность реализации угрозы признается низкой;

если 0.3<Y<=0.6, то возможность реализации угрозы признается средней;

если 0.6<Y<=0.8, то возможность реализации угрозы признается высокой;

если 0.8<Y, то возможность реализации угрозы признается очень высокой.

Реализуемость угроз:

(1) – низкая

(2) – средняя

(3) – средняя

(4) - высокая

Далее составим таблицу актуальности угроз безопасности ПДн:

Возможность реализации угрозы	Наименование и описание угрозы	Показатель опасности угрозы
	Низкая	Средняя	Высокая
Низкая	(1)	неактуальная	неактуальная	Актуальная
Средняя	(2), (3)	неактуальная	актуальная	актуальная
Высокая	(4)	актуальная	актуальная	актуальная
Очень высокая		актуальная	актуальная	актуальная

 

Рассмотрев исходные данные информационной системы персональных данных (ИСПДн)

«SAP HR»

в соответствии с требованиями совместного приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» определили:

1. Значения обрабатываемых персональных данных: ФИО, адрес, дата рождения, № паспорта, скан паспорта, ИНН, сведения о воинском учете, номер медицинского страхового полиса, номер диплома, скан диплома, данные о зарплате. Категория персональных данных, обрабатываемых в информационной системе (Х_пд): категория 2.
2. Объём обрабатываемых персональных данных (Х_пдн): 2
3. Информационная система персональных данных, по заданным оператором характеристикам безопасности относится к: специальной.
4. Структура информационной системы: локальная.
5. Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена: НЕТ.
6. Режим обработки персональных данных в информационной системе: многопользовательский.
7. Разграничение прав доступа пользователей: с разграничением.
8. Местонахождения информационных систем персональных данных:

в пределах Российской Федерации.