ent:42pt;line-height:18pt">1.8. Устанавливается девять классов  защищенности АС от НСД к  информации.

Каждый класс характеризуется  определенной минимальной совокупностью  требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки  информации в АС.

В пределах каждой группы соблюдается  иерархия требований по защите в зависимости  от ценности (конфиденциальности) информации и, следовательно, иерархия классов  защищенности АС.

1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых  пользователи имеют одинаковые права  доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Класс системы - 1Г.

 

 

2 ПЕРЕЧЕНЬ ПДН, ИХ КАТЕГОРИЯ И ОБЪЕМ

 

Персональные  данные– любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия,имя,отчество,датаиместорождения,адрес,семейное,социальное, имущественное положение,образование,профессия,доходы,другаяинформация.

Категории обрабатываемых в ИС ПДн (XПД):

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских  убеждений, состояния здоровья, интимной жизни;

категория 2 - персональные данные, позволяющие  идентифицировать субъекта персональных данныхиполучитьонемдополнительнуюинформацию,заисключениемперсональных данных, относящихся к категории 1;

категория 3 - персональные данные, позволяющие  идентифицировать субъекта персональных данных;

категория 4 - обезличенные и (или) общедоступные  персональные данные.

Объем обрабатываемых персональных данных (XНПД).

1 - в ИС  одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта РФ или РФ в целом;

2 - в ИС  одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектовПДн,работающихвотраслиэкономикиРФ, ворганегосударственнойвласти, проживающих в пределах муниципального образования;

1. - в ИС одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

3 КЛАССИФИКАЦИЯ  ИСПДН

 

Исходные  данные:

- категория  обрабатываемых в информационной  системе персональных данныхXПД;

- объем  обрабатываемых персональных данных (количество субъектов ПДн, данные которых обрабатываются в информационной системе) - XНПД;

- заданные  оператором характеристики безопасности  персональных данных, обрабатываемых  в информационной системе;

- структура  информационной системы;

- наличие  подключений информационной системы  к сетям связи общего пользования  и (или) сетям международного  информационного обмена;

- режим  обработки персональных данных;

- режим  разграничения прав доступа пользователей информационной системы;

- местонахождение  технических средств информационной  системы.

По заданным оператором характеристикам безопасности ПДн, обрабатываемых в ИС, подразделяются на:

– типовые;

– специальные.

Типовые информационные системы - информационные системы, в которых требуется  обеспечение только конфиденциальности персональных данных.

Специальные информационные системы - информационные системы, в которых вне зависимости  от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных  действий).

К специальным  информационным системам должны быть отнесены:

- ИС, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;

- ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.

По структуре  ИС подразделяются на:

- автономные (не подключенные к иным информационным  системам) комплексы технических  и программных средств (КТПС), предназначенные для обработки  ПДн (автоматизированные рабочие места (АРМ));

- комплексы АРМ, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (локальные информационные системы (ЛИС));

- комплексы АРМ и (или) ЛИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа (распределенные информационные системы (РИС)).

 

По наличию  подключений к сетям связи  общего пользования и (или) сетям  международного информационного обмена информационные системы подразделяются на:

– системы, имеющие подключения,

– системы, не имеющие подключений.

 

По режиму обработки ПДн в ИС подразделяются на:

– однопользовательские;

– многопользовательские.

 

По разграничению  прав доступа пользователей информационные системы подразделяются на:

– системы без разграничения прав доступа;

– системы с разграничением прав доступа.

 

ИС в  зависимости от местонахождения  их технических средств подразделяются на:

– системы, все технические средства которых находятся в пределах РФ;

– системы, технические средства которых частично или целиком находятся за пределами  РФ.

 

По результатам  анализа исходных данных типовой  информационной системе присваивается  один из следующих классов:

класс 1 (К1) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;

класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;

класс 3 (К3) - ИС, для которых нарушение  заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов  персональных данных;

класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

 

 

 

 

 

4 АКТУАЛЬНОСТЬ  УБПДН ДЛЯ ИСПДН И ВОЗМОЖНЫЕ  ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ ДАННЫХ  УГРОЗ

 

Таблица 1 - Перечень исходной защищённости ИСПДн