МОДЕЛЬ УГРОЗ И НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В ТИПОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ. Министерство связи и массовых коммуникаций Российской Федерации Модель угроз и нарушителя безопасности персональных данных
Скачать 256 Kb.
|
3Состав, категории и объем персональных данныхСостав персональных данных определяется соответствующим типом ИСПДн, описанных в разделе 2. На основе характеристик и особенностей отрасли в части используемых ИСПДн и обрабатываемых в них персональных данных, можно констатировать, что персональные данные субъектов ПДн, обрабатываемых в ИСПДн, относятся как к персональным данным категории 3 (персональные данные, позволяющие идентифицировать субъекта персональных данных), так и к категории 2 (персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию). Персональные данные категории 1 (персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни) в ИСПДн отсутствуют. Объемы ПДн, обрабатываемых в ИСПДн, для различных уровней реализации служебных процессов (федеральный, региональный, муниципальный, местный) в соответствии с «Порядком проведения классификации информационных систем персональных данных» могут быть трех типов: Группа Г1 – в ИСПДн находятся в процессе автоматизированной обработки персональные данные 100 000 и более либо данные субъектов в пределах субъекта Российской Федерации или Российской Федерации в целом; Группа Г2 – в ИСПДн находятся в процессе автоматизированной обработки персональные данные от 1000 до 100 000 субъектов ПДн либо данные субъектов, в пределах отрасли Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования; Группа Г3 – в ИСПДн находятся в процессе автоматизированной обработки персональные данные менее 1000 субъектов ПДн или персональные данные субъектов ПДн, работающих в пределах конкретной организации. 4Характеристики безопасности персональных данных, обрабатываемых в типовых информационных системах персональных данныхВ соответствии с «Порядком проведения классификации информационных систем персональных данных» характеристикой безопасности, которую необходимо обеспечить для типовых ИСПДн является конфиденциальность. Под конфиденциальностью понимается обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания1. 5Классификация информационных систем персональных данныхКлассификация типовых ИСПДн осуществляется на основе следующих характеристик ПДн: категория обрабатываемых в ИСПДн персональных данных; объем обрабатываемых ПДн в ИСПДн (персональные данные, находящие в ИСПДн в процессе автоматизированной обработки). Класс типовой информационной системы определяется в соответствии с таблицей 1, составленной на основе положений документа «Порядок проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России и Министерством информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 года № 55/86/20. Таблица 1 – Классификация типовых информационных систем
Таким образом, можно констатировать, что ИСПДн могут быть классифицированы как типовые ИСПДн классов К3, К2, К1. В случае обезличивания персональных данных ИСПДн может быть классифицирована как ИСПДн класса К4. 6Способы нарушения конфиденциальности персональных данныхИсходя из перечня персональных данных, обрабатываемых в типовых ИСПДн, существуют следующие способы нарушения конфиденциальности ПДн: хищение персональных данных сотрудниками предприятия для использования в корыстных целях; передача финансовой, адресной, юридической и прочей информации о субъекте ПДн третьим лицам; несанкционированное публичное разглашение персональных данных, ставших известными сотрудникам предприятия; несанкционированное получение персональных данных третьими лицами. |