незапланированных и (или) непроизводительных финансовых или материальных затрат субъекта;
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например рассылка персонифицированных рекламных предложений и т.п.).
3.5. Опосредованный ущерб связан с причинением вреда обществу и (или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн.
3.6. Классификация ИСПДн проводится комиссией, назначаемой начальником Организации, в соответствии с Порядком проведения классификации информационных систем персональных данных, утвержденным Приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, и иными руководящими документами по защите ПДн.
3.7. Проведение классификации ИСПДн включает в себя следующие этапы:
сбор и анализ исходных данных по ИСПДн;
присвоение ИСПДн соответствующего класса и его документальное оформление.
3.8. При проведении классификации ИСПДн комиссией учитываются следующие исходные данные:
категория обрабатываемых ПДн в ИСПДн;
объем обрабатываемых ПДн (количество субъектов ПДн, ПДн которых обрабатываются в ИСПДн);
заданные характеристики безопасности ПДн, обрабатываемых в ИСПДн;
структура ИСПДн;
наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки ПДн;
режим разграничения прав доступа к ИСПДн;
местонахождение технических средств ИСПДн.
3.9. В случае выделения в составе ИСПДн подсистем, каждая из которых является ИСПДн, ИСПДн в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем.
3.10. Результаты классификации ИСПДн оформляются актом, подписанными членами комиссии, и утверждается начальником Организации.
3.11. Класс ИСПДн может быть пересмотрен:
на основе проведенных комиссией анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений конкретной ИСПДн;
по результатам мероприятий по контролю и надзору уполномоченными органами за выполнением требований по обеспечению безопасности ПДн при их обработке в ИСПДн.
4. Основные цели и задачи защиты информации на объекте информатизации Организации
4.1. В соответствии с присвоенным классом ИСПДн и моделью угроз безопасности ПДн в Организации должен выполняться комплекс организационнотехнических мероприятий по защите информации, циркулирующей в помещениях, технических системах и средствах передачи, хранения и обработки информации.
4.2. Накопление, обработка, хранение и передача защищаемой информации в Организации происходит на объекте информатизации, который представляет собой совокупность информационных ресурсов, средств и систем обработки информации, используемых» в соответствии с заданной информационной технологией, средств обеспечения, помещений, в которых они установлены, или помещений, предназначенных для ведения конфиденциальных переговоров.
К объекту информатизации в Организации относятся защищаемые, специальные помещения и средства вычислительной техники.
4.3. Целями защиты информации на объекте информатизации являются:
предотвращение утечки информации по техническим каналам;
предотвращение уничтожения, искажения, копирования, блокирования информации в системах информатизации за счет НСД к ней;
соблюдение правового режима использования массивов, программ обработки информации, обеспечение полноты, целостности, достоверности информации в системах ее обработки;
сохранение возможности управления процессом обработки и пользования информацией.
4.4. К основным задачам защиты информации на объекте информатизации относя гея задачи по предотвращению:
несанкционированного доведения защищаемой информации до лиц, не имеющих права доступа к этой информации;
получения защищаемой информации заинтересованным лицом с нарушением установленных прав или правил доступа к защищаемой информации;
несанкционированного доведения защищаемой информации до лиц, не имеющих права доступа к этой информации;
получения защищаемой информации заинтересованным лицом с нарушением установленных прав или правил доступа к защищаемой информации;
получения защищаемой информации разведкой с помощью технических средств;
воздействия на защищаемую информацию с нарушением установленных прав или правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств АС, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
4.5. Защита информации на объекте информатизации Организации достигается выполнением комплекса организационных мероприятий с применением сертифицированных средств защиты информации от утечки или воздействия на нее по техническим каналам путем НСД к ней, по предупреждению преднамеренных программно-технических воздействий, предпринятых с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.
5. Порядок определения защищаемой информации организации
5.1. К защищаемой информации Организации относится:
информация, содержащая ПДн работников, клиентов, граждан;
общедоступная информация, уничтожение, изменение, блокирование которой может нанести ущерб Организации.
5.2. По результатам анализа информации обрабатываемой в Организации составляются:
«Список сотрудников, допущенных к обработке ПДн» (с указанием названия и вида обрабатываемого документа: бумажный, электронный);
«Перечень информационных ресурсов, содержащих ПДн, подлежащих защите в АС».
5.3. Защищаемая информация Организации может быть представлена:
на бумажных носителях в виде отдельных документов или дел с документами;
на машинных носителях в виде файлов, массивов; баз данных, библиотек и пр.;
в виде речевой информации, при проведении совещаний, переговоров и пр.
5.4. С целью определения технических средств и систем, с помощью которых
обрабатывается информация, содержащая ПДн, а также помещений, где проводятся обсуждения с использованием такой информации, отделом информационных технологий, отделом безопасности или администратором информационной безопасности Организации составляются и утверждаются перечни ТС ИСПДн, защищаемых и специальных помещений.
6. Технические каналы утечки защищаемой информации, циркулирующей на объекте информатизации Организации
6.1. Технический канал утечки информации (ТКУИ) представляет собой совокупность следующих факторов:
источника информативного сигнала;
физической среды его распространения;
приемника, способного зарегистрировать данный сигнал.
6.2. При ведении переговоров и использовании технических средств для обработки и передачи информации на объекте информатизации Организации возможна реализация следующих ТКУИ:
акустического излучения информативного речевого сигнала;
электрических сигналов, возникающих при преобразовании информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющихся по проводам и линиям, выходящим за пределы КЗ;
виброакустических сигналов, возникающих при преобразовании информативного акустического сигнала за счет воздействия его на строительные конструкции и инженерно-технические коммуникации защищаемого помещения;
НСД к обрабатываемой в АС информации и несанкционированные действия с ней;
воздействия на технические или программные средства ИС в целях нарушения конфиденциальности, целостности и доступности информации посредством специально внедренных программных средств;
ПЭМИН информативных сигналов от ТС ИСПДн и линий передачи информации;
наводок информативного сигнала, обрабатываемого ТС ИСПДн, на цепи электропитания и линии связи, выходящие за пределы КЗ;