Форум регионального информационного ресурса

[Denis]

Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

Разобраться бы для начала с уровнями угроз.
1-й уровень актуальных угроз (для системного ПО) - актуален для Парус, насколько понимаю. Т.к. базируется на линейке ОС майкрософт. При этом для Самсон, как базирующейся на юникс-подобной платформе она не актуальна.
следовательно для Парус уровень актуальных угроз 2 (уровень прикладного ПО).

Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?
Т.е. по этому пункту и Самсон и Парус "подключения не имеет".

Если честно, пока тёмный лес с этой классификацией, кто-нибудь имел опыт в подобном?

[Administrator]

Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

В соответствии с положениями (п. 9-12) постановления правительства РФ от 01.11.2012 № 1119 оператору ПДн необходимо провести процедуру установления уровня защищенности персональных данных при их обработке в информационных системах. Таким образом, перед Вами стоит задача не классификации ИСПДн, а определения уровня защищенности персональных данных в конкретных ИСПДн.

Разобраться бы для начала с уровнями угроз.

Во-1, скорее всего Вы имели ввиду не "уровни угроз", а "типы угроз". Их, действительно, предусматривается три, и зависят они от актуальности угроз недокументированных (недекларированных) возможностей в ПО.
Во-2, читаем п.7 того же постановления правительства РФ от 01.11.2012 № 1119:

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

В-3, принимаем во внимание мнение экспертов, там же ссылка на презентацию.

Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?

Вопрос подключения к Интернету стоит рассматривать на физическом уровне, если кабель с Интернетом подключён, то подключение к сетям общего пользования есть. Вне зависимости от того осуществлен ли обмен данными через VPN или нет. VPN стоит рассматривать уже как средство защиты информации.

Рекомендую просмотреть полностью приведенное видео и презентацию, рассматриваются очень многие вопросы. Надеюсь, что прояснил ситуацию по процедуре установления уровня защищенности персональных данных в ИС.

[Aleksander]

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

А как оператор может просчитать возможный вред?

[Administrator]

Рекомендаций регуляторов пока нет, но есть мнение экспертов.

[Administrator]

Думаю, данная статья поможет при классификации систем.