Показатели исходной защищенности испДн
Определение класса гис
В компании «Яндкс.Еда» обрабатывается конфиденциальная информация о клиентах и сотрудниках.
Также в процессе работы обрабатываются сведения, являющиеся коммерческой тайной: отчеты о финансовом состоянии, планирование и записи о деловой активности. Такая информация блокируется согласно внутреннему регламенту. Информация, являющаяся коммерческой тайной, обрабатывается в бухгалтерском и административном сегментах компании.
Компания «Яндекс.Еда» обрабатывает два вида информации: персональные данные и коммерческая тайна. В соответствии с Приказом ФСТЭК №17 от 11 февраля 2013 года в этом случае уровень значимости информации (УЗ) определятся отдельно для каждого вида информации. Итоговый уровень значимости информации, обрабатываемой в информационной системе, устанавливается по наивысшим значениям УЗ каждого вида информации. Оба вида информации, обрабатываемой в компании, имеют средний уровень значимости (УЗ 2), так как для каждого свойства безопасности информации и каждого её вида определена средняя степень ущерба (в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности) и нет ни одного свойства, для которого определена высокая
Оба вида имеют средний уровень значимости, поэтому итоговый уровень значимости также УЗ 2.
Информационная система, используемая в компании «Яндекс.Еда», имеет региональный масштаб, так как она функционирует только на территории ЦФО (то есть на территории Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях. – описание классификации из Приказа ФСТЭК №17 от 11 февраля 2013 года).
Класс защищенности ГИС (К1, К2, К3) определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (объектовый, федеральный, региональный).
После определения уровня значимости и масштаба системы класс вычисляется по таблице, представленной на рисунке 2.
Таким образом, на пересечении УЗ 2 и регионального масштаба находится класс защиты К2.
Рисунок 2 – Таблица для вычисления класса защиты ГИС
Таким образом, на основании проведённого анализа необходимо наличие ГИС класса защиты К2.
Определение типа ИСПДн
Так как компания осуществляет сбор персональных данных, то на неё наложены обязательства обеспечения неограниченного доступа к документу, определяющему её политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Меры по обеспечению безопасности персональных данных реализуются в рамках системы защиты персональных данных, создаваемой в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, и должны быть направлены на нейтрализацию актуальных угроз безопасности персональных данных.
В компании «Яндекс.Еда» обрабатываются такие персональные данные, как: ФИО, номер телефона, адрес электронной почты, данные банковской карты, паспортные данные сотрудников. Автоматизированная обработка персональных данных происходит в сегменте разработки и ЦОД.
Используемая в компании ИСПДн не обрабатывает специальную, биометрическую и общедоступную информацию, поэтому она относится исключительно к типу ИСПДн-И.