Определение класса защищенности испДн.

Уровень исходной защищенности ИСПДн определяется в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных ФСТЭК России в 2008 году

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
1. По территориальному размещению:
локальная ИСПДн, развернутая в пределах одного здания	+	–	–
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая одноточечный выход в сеть общего пользования;	–	+	–
3. По встроенным (легальным) операциям с записями баз персональных данных:
чтение, поиск;	+	–	–
4.По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;	–	+	–

 

 

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
	Высокий	Средний	Низкий
5. По наличию соединений с другими базами ПДн иных ИСПДн:
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн	+	–	–
6. По уровню обобщения (обезличивания) ПДн:
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.);	+	–	–
7. По объему  ПДн, которые предоставляются  сторонним пользователям ИСПДн без предварительной обработки:
ИСПДн, не предоставляющая никакой информации.	+	–	–
ИТОГО	= 5(71,42%)	= 2(28,57%)	= 0(0%)

Таким образом, для ИСПДн предприятия был определен высокий уровень исходной защищенности.

Уровень защищённости ИСПДн определяется по таблице на рисунке 3, который представлен ниже.

Рисунок 3 – Уровни защищённости персональных данных

К угрозам первого типа относятся наличие не декларированных, то есть не задокументированных возможностей в системном ПО (ОС, сервисные программы, антивирусы).

К угрозам второго типа относятся не декларированные возможности в прикладном ПО. Прикладное ПО может быть общего назначения, такие как СУБД и специального назначения, например, бухгалтерские программы.

К третьему типу относятся угрозы в системном и программном ПО, не связанные с вышеперечисленными угрозами.

ИСПДН относится к категории ИСПДн-И, в компании есть собственные работники, тип актуальности угроз – 2. Таким образом, уровень защищённости ИСПДн – УЗ 3.

6. КИИ

Субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы (ИС), информационно-телекоммуникационные сети (ИТС), автоматизированные системы управления (АСУ), функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей (Указ Президента Российской Федерации от 30.03.2022 № 166 “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации”)

Компания «Яндекс.Еда» принадлежит ИС, однако вид её деятельности – сервис по доставке готовой еды, не является критически важным, так как не описан в определении КИИ выше.

Стадии производственного процесса	Бизнес-процесс	Являются ли бизнес-процессы критическим
Взаимодействие компании с поставщиком	Исследование рынка поставщиков Поиск конкретных поставщиков Переговоры Составление отчетности по связям с поставщиками	Нет
Формирование заказа	Планирование закупок Заключение договоров с поставщиками	Нет
Закупка товара	Исполнение закупки товара	Нет
Взаимодействие с клиентами	Исследование рынка потенциальных покупателей Поиск оптовых покупателей Переговоры Подача рекламы Представление фирмы в бизнес-кругах Составление отчетности по связям с покупателями Контроль за выполнением вышеуказанных задач	Нет
Поступление заказа	Оформление заказов Заключение договоров купли-продажи Принятие решения об исполнении заказа	Нет
Исполнение заказа	Выдача необходимого товара покупателю Отправка заказа курьером	Нет
Бухгалтерский учёт	Ведение расчетных работ Расчет заработной платы Расчет налогов Расчет прибыли, затрат Работа с банком Обработка и хранение необходимой документации	Нет
Общее руководство	Осуществление общего руководства Контроль за деятельностью фирмы Общее стратегическое руководство Решение вопросов финансового обеспечения Подбор кадров, учет личного состава, прием и увольнение сотрудников	Нет
Техническое обеспечение	Техническая поддержка офисного оборудования Оптимизация и продвижение приложения сервиса Расширение функциональных возможностей сервиса	Нет

В таблице выше можно увидеть, что в компании «Яндекс.Еда» нет критических бизнес-процессов, поэтому нет необходимости рассчитывать категории значимости, так как они рассчитываются исключительно для критических бизнес-процессов.

ВЫВОДЫ

Таким образом, в компании «Яндекс.Еда» реализована защита по классу K2 ГИС, по уровню защиты 3 ИСПДн-И. Бизнес-процессы компании не относятся к критическим, компания не является субъектом КИИ.