1 Этап - Определение типа информационной системы персональных

​

1. Информационная система, обрабатывающая специальные категории персональных данных (СКПДн) (если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных).

2. Информационная система, обрабатывающая биометрические персональные данные (БПДн) (отпечатки пальцев, сетчатка глаза).

3. Информационная система, обрабатывающая общедоступные персональные данные (ОПДн) (если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных).

4. Информационная система, обрабатывающая иные категории персональных данных (ИКПДн) (паспортные данные, данные водительского удостоверения, страхового свидетельства).

​

2 Этап - Определение типа актуальных угроз ИСПДн

​

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе.

Выделяют 3 типа угроз:

1. Угрозы 1-го типа актуальны для информационной системы, ЕСЛИ ДЛЯ НЕЕ В ТОМ ЧИСЛЕ актуальны угрозы, СВЯЗАННЫЕ с наличием недокументированных (не декларированных) возможностей В СИСТЕМНОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ, используемом в информационной системе.

2. Угрозы 2-го типа актуальны для информационной системы, ЕСЛИ ДЛЯ НЕЕ В ТОМ ЧИСЛЕ актуальны угрозы, СВЯЗАННЫЕ с наличием недокументированных (не декларированных) возможностей В ПРИКЛАДНОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ, используемом в информационной системе.

3. Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, НЕ СВЯЗАННЫЕ с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

​

Уровни контроля отсутствия НДВ

(Руководящий документ Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия не декларированных возможностей Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114):

​

Самый высокий уровень контроля - первый, достаточен для ПО, используемого при защите информации с грифом «ОВ».

Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC».

Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C».

Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

​

Уровни доверия

(Приказ ФСТЭК России №131 от 30.07.2018

«Об утверждении Требований по безопасности информации, устанавливающие уровни доверия к СТЗИ и СОБИТ):

​

1.  СЗИ, соответствующие 6 уровню доверия, подлежат применению в значимых объектах КИИ 3 категории, в ГИС 3 класса защищенности, в АСУ производственными и технологическими процессами 3 класса защищенности, в ИСПДн при необходимости обеспечения 3 и 4 уровня защищенности ПДн.

2. СЗИ, соответствующие 5 уровню доверия, подлежат применению в значимых объектах КИИ 2 категории, в  ГИС 2 класса защищенности, в  АСУ производственными и технологическими процессами 2 класса защищенности, в ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн.

3. СЗИ, соответствующие 4 уровню доверия, подлежат применению в значимых объектах КИИ 1 категории, в  ГИС 1 класса защищенности, в  АСУ производственными и технологическими процессами 1 класса защищенности, в ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в информационных системах общего пользования II класса.

4. СЗИ, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.

​

ФСТЭК
ИНФОРМАЦИОННОЕ СООБЩЕНИЕ
ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
К ОПЕРАЦИОННЫМ СИСТЕМАМ
от 18 октября 2016 г. N 240/24/4893

​

Утверждены Требования безопасности информации к операционным системам , которые вступают в силу с 1 июня 2017 г. Требования устанавливаются для операционных систем, которые используются как СЗИ (если вы все или большую часть требований закрываете надстроенными СЗИ, то закупать еще и сертифицированные операционные системы не нужно).

Требования вступают в силу с 1 июня 2017 года (регулятор дает лабораториям, вендорам, заказчикам и другим заинтересованным лицам время на подготовку).

Выделяется 3 типа операционных систем и 6 классов, итого — 18 профилей защиты ОС.

По типам ОС подразделяются на: обычные (тип «А») — хостовые и серверные ОС в самом привычном их понимании, встраиваемые (тип «Б») — прошивки оборудования и на ОС реального времени (тип «В»);

По классам защиты все вписывается в схему унификации классов СЗИ:

• 1-3 классы для гостайны,

• 4 — для ГИС 1 класса и ИСПДн УЗ-1,

• 5 — для ГИС 2 класса и ИСПДн УЗ-2,

• 6 — для ГИС 3 класса и ИСПДн УЗ-3,4.

​

3 Этап - Определение количества обрабатываемых субъектов ИСПДн

​

Количество обрабатываемых субъектов ПДн:

• менее 100 000 субъектов;

• более 100 000 субъектов.

​

4 Этап - Определение принадлежности субъекта к оператору

​

По форме отношений между субъектом и организацией, обработка подразделяется на 2 вида:

• обработка персональных данных сотрудников (субъектов оператора);

• обработка персональных данных субъектов, не являющихся сотрудниками оператора.