Уровень исходной защищенности
Под общим уровнем защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1), приведенных в таблице 2.
Таблица 2
| Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
| Высокий | Средний | Низкий | |
| 1. По территориальному размещению: | |||
| распределённая ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | + | ||
| городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | + | ||
| корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | + | ||
| локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | + | ||
| локальная ИСПДн, развернутая в пределах одного здания. | + | ||
| 2. По наличию соединения с сетями общего пользования: | |||
| ИСПДн, имеющая многоточечный выход в сеть общего пользования; | + | ||
| ИСПДн, имеющая одноточечный выход в сеть общего пользования; | + | ||
| ИСПДн, физически отделенная от сети общего пользования. | + | ||
| 3. По встроенным (легальным) операциям с записями баз персональных данных: | |||
| чтение, поиск; | + | ||
| запись, удаление, сортировка; | + | ||
| модификация, передача. | + | ||
| 4. По разграничению доступа к персональным данным: | |||
| ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; | + | ||
| ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | + | ||
| ИСПДн с открытым доступом. | + | ||
| 5. По наличию соединений с другими базами ПДн иных ИСПДн: | |||
| интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); | + | ||
| ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн. | + | ||
| 6. По уровню (обезличивания) ПДн: | |||
| ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); | + | ||
| ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; | + | ||
| ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн). | + | ||
| 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |||
| ИСПДн, предоставляющая всю БД с ПДн; | + | ||
| ИСПДн, предоставляющая часть ПДн; | + | ||
| ИСПДн, не предоставляющие никакой информации. | + |
Исходная степень защищенности определяется следующим образом:
1) ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу) (Y1= 0).
2) ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности (Y1= 5).
3) ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2 (Y1= 10).
Уровень исходной защищенности должен быть определен для каждой ИСПДн.
Особое внимание следует уделить определению Наличия соединения с другими базами ПДн в иных ИСПДн (пункт 5, таблицы 2) и Объему ПДн, предоставляемых сторонним пользователям ИСПДн без предварительной обработки (пункт 7, таблицы 2).
Для Распределенных ИС обоих типов, важно определить их территориальное размещение (пункт 1, таблицы 2).
В таблице 3 представлено обобщенное определение уровня исходной защищенности для каждого из типов ИСПДн.
Таблица 3
| Технические и эксплуатационные характеристики | Автономная ИС I типа | Автономная ИС II типа | Автономная ИС III типа | Автономная ИС IV типа | Автономная ИС V типа | Автономная ИС VI типа | ЛИС I типа | ЛИС II типа | Распред. ИС I типа | Распред. ИС II типа |
| По территориальному размещению | высокий | высокий | высокий | высокий | высокий | высокий | высокий | высокий | средний | средний |
| По наличию соединения с сетями общего пользования | высокий | средний | высокий | средний | высокий | средний | высокий | средний | средний | средний |
| По встроенным (легальным) операциям с записями баз персональных данных | средний | средний | средний | средний | средний | средний | средний | средний | низкий | низкий |
| По разграничению доступа к персональным данным | средний | средний | средний | средний | средний | средний | средний | средний | средний | средний |
| По наличию соединений с другими базами ПДн иных ИСПДн | высокий | высокий | высокий | высокий | высокий | высокий | высокий | высокий | высокий | высокий |
| По уровню (обезличивания) ПДн | средний | средний | средний | средний | средний | средний | средний | средний | средний | средний |
| По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки | средний | средний | средний | средний | средний | средний | средний | средний | средний | средний |
| Уровень защищенности | средний | средний | средний | средний | средний | средний | средний | средний | средний | средний |
| Значение Y1 |