Введение
Данный документ содержит отчет по угрозам и рискам безопасности ИСПДн организации ЗАО «РиК»
Основная часть.
Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в следующем.
Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн:
| Технические и эксплуатационные характеристики ИСПДн | Описание характеристики | Уровень защищенности |
| 1. По территориальному размещению | корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | Средний |
| 2. По наличию соединения с сетями общего пользования: | ИСПДн, имеющая одноточечный выход в сеть общего пользования; Сотрудники отдела кадров - ИСПДн, физически отделенная от сети общего пользования | Средний Высокий Возьмем минимальный показатель: СРЕДНИЙ |
| 3. По встроенным (легальным) операциям с записями баз персональных данных | Любые операции для сотрудников отдела кадров Чтение, поиск для сотрудников многих отделов Запись удаление – для сотрудников отдела кадров и консультантов | Низкий Высокий Средний Возьмем минимальный показатель: НИЗКИЙ |
| 4. По разграничению доступа к персональным данным | ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн | Средний |
| 5. По наличию соединений с другими базами ПДн иных ИСПДн | ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн | Высокий |
| 6. По уровню обобщения (обезличивания) ПДн: | ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации | Средний |
| 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | ИСПДн, не предоставляющая никакой информации. | Высокий |
ИТОГО:
· Высокий = 2
· Средний = 4
· Низкий = 1
Исходя из полученных данных ИСПДн организации ЗАО «РиК» имеет средний уровень исходной защищенности
Реализуемость угрозы (Y) определяется соотношением
Y=(Y1+Y2)/20
Где Y1 – коэффициент исходной защищенности (средняя = 5)
Y2 – коэффициент вероятности угрозы
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
И она равна:
Y = (5+Y2) / 20
Угроза (1):
Кража личных данных из таблиц SAP HR внешним злоумышленником, Y1 = 0.25
Угроза (2):
Доступ к личным данным и их модификация в таблицах SAP HR сотрудниками компании, Y2 = 0.35
Угроза (3):
Доступ к личным данным из таблиц SAP HR консультантами в продуктивной системе, Y3 = 0.5
Угроза (4):
Доступ к устаревшим данным сотрудников в системе разработок SAP HR Y4 = 0.75
Реализуемости угрозы определяется следующим образом:
если 0<=Y<=0.3, то возможность реализации угрозы признается низкой;
если 0.3<Y<=0.6, то возможность реализации угрозы признается средней;
если 0.6<Y<=0.8, то возможность реализации угрозы признается высокой;
если 0.8<Y, то возможность реализации угрозы признается очень высокой.
Реализуемость угроз:
(1) – низкая
(2) – средняя
(3) – средняя
(4) - высокая
Далее составим таблицу актуальности угроз безопасности ПДн:
| Возможность реализации угрозы | Наименование и описание угрозы | Показатель опасности угрозы | ||
| Низкая | Средняя | Высокая | ||
| Низкая | (1) | Актуальная | ||
| Средняя | (2), (3) | актуальная | ||
| Высокая | (4) | актуальная | ||
| Очень высокая |
Рассмотрев исходные данные информационной системы персональных данных (ИСПДн)
«SAP HR»
в соответствии с требованиями совместного приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных» определили:
- Значения обрабатываемых персональных данных: ФИО, адрес, дата рождения, № паспорта, скан паспорта, ИНН, сведения о воинском учете, номер медицинского страхового полиса, номер диплома, скан диплома, данные о зарплате. Категория персональных данных, обрабатываемых в информационной системе (Хпд): категория 2.
- Объём обрабатываемых персональных данных (Хпдн): 2
- Информационная система персональных данных, по заданным оператором характеристикам безопасности относится к: специальной.
- Структура информационной системы: локальная.
- Наличие подключений к сетям связи общего пользования и (или) сетям международного информационного обмена: НЕТ.
- Режим обработки персональных данных в информационной системе: многопользовательский.
- Разграничение прав доступа пользователей: с разграничением.
- Местонахождения информационных систем персональных данных:
в пределах Российской Федерации.
