Форум регионального информационного ресурса

Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

Разобраться бы для начала с уровнями угроз.
1-й уровень актуальных угроз (для системного ПО) - актуален для Парус, насколько понимаю. Т.к. базируется на линейке ОС майкрософт. При этом для Самсон, как базирующейся на юникс-подобной платформе она не актуальна.
следовательно для Парус уровень актуальных угроз 2 (уровень прикладного ПО).

Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?
Т.е. по этому пункту и Самсон и Парус "подключения не имеет".

Если честно, пока тёмный лес с этой классификацией, кто-нибудь имел опыт в подобном?

Denis писал(а):Задался целью составить акт классификации ИСПДн для МИС Самсон и Парус.

В соответствии с положениями (п. 9-12) постановления правительства РФ от 01.11.2012 № 1119 оператору ПДн необходимо провести процедуру установления уровня защищенности персональных данных при их обработке в информационных системах. Таким образом, перед Вами стоит задача не классификации ИСПДн, а определения уровня защищенности персональных данных в конкретных ИСПДн.

Denis писал(а):Разобраться бы для начала с уровнями угроз.

Во-1, скорее всего Вы имели ввиду не "уровни угроз", а "типы угроз". Их, действительно, предусматривается три, и зависят они от актуальности угроз недокументированных (недекларированных) возможностей в ПО.
Во-2, читаем п.7 того же постановления правительства РФ от 01.11.2012 № 1119:

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

В-3, принимаем во внимание мнение экспертов, там же ссылка на презентацию.

Denis писал(а):Пункт "подключение ИС к сетям общего пользования". VPN сети относятся к сетям общего пользования или это условно локальная сеть?

Вопрос подключения к Интернету стоит рассматривать на физическом уровне, если кабель с Интернетом подключён, то подключение к сетям общего пользования есть. Вне зависимости от того осуществлен ли обмен данными через VPN или нет. VPN стоит рассматривать уже как средство защиты информации.

Рекомендую просмотреть полностью приведенное видео и презентацию, рассматриваются очень многие вопросы. Надеюсь, что прояснил ситуацию по процедуре установления уровня защищенности персональных данных в ИС.

7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

А как оператор может просчитать возможный вред?

Рекомендаций регуляторов пока нет, но есть мнение экспертов.

Думаю, данная статья поможет при классификации систем.

Форум регионального информационного ресурса

Акт классификации ИСПДн

Акт классификации ИСПДн

Re: Акт классификации ИСПДн

Акт классификации ИСПДн

Акт классификации ИСПДн

Акт классификации ИСПДн