Анализ защищенности
Анализ защищенности
2. АНАЛИЗ ОСОБЕННОСТЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДПРИЯТИЯ ООО «Усольехимпром»
2.1 Анализ структуры информационной системы и обрабатываемых в ней персональных данных
Основой ИСПДн ООО «Усольехимпром» является локальная вычислительная сеть (ЛВС), в которую включены более 400 рабочих мест оснащенных персональными компьютерами PC разных поколений. Она объединяет более 20 зданий: центральный офис, службы директора по логистике, службы директора технического, центральную и санитарную лаборатории и все технологические цеха. Архитектура магистралей сети представляет собой звезду, где центром является коммутатор, установленный в центральном офисе, а оконечными узлами все коммутаторы зданий, расположенные в остальных корпусах предприятия. Внутри корпуса рабочие станции в рамках одного этажа подключаются к коммутатору (концентратору) рабочей группы, который соединен с коммутатором здания. Межэтажные соединения и подключение рабочих станций осуществляется с помощью неэкранированной витой пары пятой категории. Для связи между зданиями используется волоконно-оптический кабель. Значительно удалённые объекты подключены с использованием существующих телефонных линий и цифровых модемов (DSL) Pair Gain, Prestige. Используются технологии Ethernet, Fast Ethernet, Gigabit Ethernet, протоколы передачи данных: IP, IPX.
В составе сети задействовано оборудование, размещённое в четырёх корпусах:
- Корпус 4301-управление: плановый отдел, производственный отдел, отдел труда, отдел ценных бумаг, бухгалтерия, отдел АСУП, отдел оборудования, финансовый отдел, служба подсобного хозяйства.
- Корпус 4310-размещены службы: отдел кадров, отдел снабжения, отдел сбыта, юридический отдел, транспортный отдел, управление торговли.
- Корпус 4045-размещены службы: отдел главного энергетика, отдел главного механика, отдел охраны природы.
- Корпус 3302-размещены службы: цех электроснабжения, лаборатория метрологии.
Рисунок 2.1 – Структура ИСПДн ООО «Усольехимпром»
Ядро ЛВС составляют:
- Файл-сервер HP ML350 G4 с двумя процессорами Xeon – 3.0, оперативной памятью 4 Гб., шестью HDD Raid – 5 емкостью 72 Гб., под управлением сетевой операционной системы (ОС) Novell NetWare 5.0. К серверу подключено устройство резервного копирования автозагрузчик HP SureStore DLT Autoloader 418;
- Сервер баз данных HP ML350 G4 с двумя процессорами Xeon – 3.0, оперативной памятью 3 Гб., шестью HDD Raid – 5 емкостью 72 Гб., под управлением операционной системы (ОС) Windows Server 2003;
- Для организации работы с Internet используются два сервера HP NetServer E 45 и программное обеспечение Border Manager 3.5 совместно с системой управления каталогами (NDS);
- Сервер HP ML350 G4 с процессором Xeon – 3.0, оперативной памятью 2 Гб., двумя HDD емкостью 72 Гб. используется для организации электронной почты и размещения внутреннего сайта предприятия.
Информационная система (ИС) ООО “Усольехимпром” состоит из следующих функциональных подсистем: основное производство, вспомогательное производство, бухгалтерский учет, сбыт, снабжение, финансы, трудовые ресурсы.
Задачи функциональных подсистем разрабатываются с помощью СУБД MS Visual FoxPro 5.0 (8.0), MS SQL Server 2005.
На платформе MS SQL Server 2005 построен электронный документооборот, включающий в себя следующие блоки: подготовка распорядительных документов (РД) в электронном виде, согласование РД с использованием электронной цифровой подписи (ЭЦП), помещение утвержденных РД в электронную базу данных и организация доступа к ним руководителей и специалистов через внутренний корпоративный сайт предприятия.
В сети используется витая пара 5-го уровня. Связь корпусов между собой осуществляется через оптоволоконное соединение.
В зависимости от расположения рабочих станций в сети используются коммутаторы в основном фирмы 3Сом. Сетевые карты в основном фирм 3Сом и Cnet.
Ключевую
роль в сети играет файл-сервер под
управлением сетевой
За основу
ИСПДн предприятия ООО «
Таблица 2.1 – Анализ состава ПДн
| Анализируемый состав ПДн | Комментарии | Категория ПДн |
| Фамилия, имя, отчество (ФИО). | С одной стороны
одни и те же ФИО могут иметь
различные люди, с другой существуют
ФИО редкие, принадлежащие только
одному конкретному человеку.
Учитывая наличие значительного количества таких данных в базах данных ИСПДн существует достаточно большая вероятность наличия в них уникальных ФИО. Таким образом, предлагается изначально предполагать, что такие данные позволяют идентифицировать субъекта ПДн. |
3 |
| Дата рождения. | По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо. | 4 (обезличенные) |
| Паспортные данные. | Наличие в составе паспортных данных уникального номера позволяет идентифицировать субъекта ПДн. Наличие других данных позволяет получить о человеке дополнительную информацию. | 2 |
| Данные о регистрации (включают дату и место регистрации по месту жительства). | Одни и те же данные
о регистрации могут иметь
различные люди, но существуют адреса,
по которым зарегистрирован только
один человек.
Учитывая наличие значительного количества таких данных в базах данных, существует достаточно большая вероятность наличия в них адресов, по которым зарегистрирован один человек. Таким образом, эти данные позволяют идентифицировать человека. |
3 |
| Данные об изменениях должностного положения. | По базе данных, содержащей только данные сведения, Невозможно определить их принадлежность к кому-либо. | 4 (обезличенные) |
| ИНН, СНИЛС, номер страхового медполиса. | По данным сведениям существует возможность определить их принадлежность к конкретному человеку, следовательно, они не являются обезличенными. | 3 |
| Финансовые данные | По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо. | 4 (обезличенные) |
В результате
можно сделать вывод что в ИСПДн ООО «Усольехимпром»
обрабатываются ПДн 2 категории.
Рисунок 2.2
– Схема расположения объекта
Рисунок 2.3 – Схема головного здания
2.2 Анализ системы обеспечения безопасности ИСПДн предприятия ООО «Усольехимпром»
2.2.1 Структура службы безопасности предприятия
Служба безопасности
на предприятии имеет
Рисунок 2.4 – Блок-схема службы безопасности
2.2.2 Организационно-правовые меры обеспечения безопасности предприятия
В отделе безопасности предприятия имеются следующие организационно-правовые документы:
- положение об отделе информатизации, учета техники и кадровой политики;
- положение о порядке обработки и обеспечении безопасности персональных данных;
- положение о персональных данных сотрудников, обрабатываемых без использования средств автоматизации;
- Перечень АС ИСПДн;
- Перечень КИ;
- Список лиц, допущенных к работе на АС (ИСПДн);
- Должностные инструкции: администратора ИСПДн, пользователя ИСПДн, администратора безопасности ИСПДн;
- Модель УБ ПДн;
- Акт классификации ИСПДн.
А так же все сотрудники предприятия дали свое письменное согласие на использование их персональных данных.
2.2.3 Программные средства обеспечения безопасности предприятия
Для программной защиты информации на предприятии задействованы межсетевые экраны и встроенные средства Novell NetWare.
Соединение с внешней сетью интернет происходит через NAT, что позволяет предотвратить или ограничить обращение снаружи к внутренним хостам.
На предприятии используется внутренняя почта функционирующая на сервере с Windows 2000 Server MDaemon (почтовый сервер) и существует внутренний сайт.
Антивирусную защиту обеспечивает Kaspersky Work Space Security с централизованным управлением. Антивирусная защита Kaspersky Work Space Security предоставляет администратору такие функции контроля рабочих мест как:
- Контроль запуска программ. Позволяет администратору производить аудит использования приложений, разрешать или блокировать их запуск.
- Белые списки. Система категоризации позволяет администратору создавать правила запуска программ на основе локального белого списка или с помощью обновляемого из «облака» списка программ, сгруппированных по определенным категориям.
- Контроль активности программ. Позволяет контролировать действия программ и при необходимости ограничивать их доступ к различным ресурсам системы.
- Поиск уязвимостей. Осуществляет проверку операционной системы и используемых программ на наличие уязвимостей, выявляет необходимость установки обновлений операционной системы и приложений, помогая предотвратить заражение корпоративной сети.
- Контроль устройств. Применение настраиваемых политик использования внешних устройств снижает риск потери данных и утечки конфиденциальной информации. Администратор может гибко настроить политики контроля доступа к внешним устройствам в зависимости от типа устройств, шины подключения или ID (идентификационного номера) конкретных устройств.
- Веб-Контроль. Обеспечивает мониторинг и контроль доступа пользователей к веб-ресурсам, позволяет регулировать права доступа сотрудников в корпоративной сети и за ее пределами к веб-ресурсам в зависимости от категории, содержания и типа данных.
Аутентификация пользователей АРМ проходит посредством связки логин/пароль. Пароль изменяется каждые три месяца и имеет длину не менее 8 символов. После успешной авторизации пользователь получает доступ к АРМ и сетевому хранилищу. В сетевом хранилище пользователь может пользоваться только той информацией, к которой он имеет права доступа.
Так же все данные хранящиеся на серверах подвергаются плановому резервному копированию раз в неделю.
2.2.4 Физические средства обеспечения безопасности предприятия
Здание имеет
кирпичные стены толщиной не менее
полуметра, в оконных проемах
установлены рамы с двойным стеклом,
все двери снабжены замками, в
кабинетах руководителей
2.2.5 Исходный уровень защищенности ИСПДн
Под общим уровнем защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1).
Таблица 2.2 – Исходный уровень защищенности
| Позиция | Технические и эксплуатационные характеристики | Уровень
защищенности |
| 1 | По территориальному размещению | распределенная ИСПДн, развернутая в нескольких зданиях находящихся на одной территории |
| 2 | По наличию соединения с сетями общего пользования | ИСПДн, имеющая выход в сеть общего пользования |
| 3 | По встроенным (легальным) операциям с записями баз персональных данных | запись, удаление, сортировка, модификация, передача |
| 4 | По разграничению доступа к персональным данным | ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн |
| 5 | По наличию соединений с другими базами ПДн иных ИСПДн | ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной базы |
| 6 | По уровню (обезличивания) ПДн | ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) |
| 7 | По объему ПДн, которые
предоставляются сторонним |
ИСПДн, не предоставляющие никакой информации сторонним пользователям |
2.2.5 Реализуемость угроз
По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y1 + Y2)/20
Оценка реализуемости УБПДн представлена в таблице 2.3.
Таблица 2.3 – Реализуемость УБПДн
| Тип угроз безопасности ПДн | Коэффициент реализуемости угрозы (Y) | Возможность реализации |
| 1. Угрозы от утечки по техническим каналам. | ||
| 1.1. Угрозы утечки акустической информации | 0,25 | низкая |
| 1.2. Угрозы утечки видовой информации | 0,35 | средняя |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | 0,25 | низкая |
| 2. Угрозы несанкционированного доступа к информации. | ||
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн | ||
| 2.1.1. Кража ПЭВМ | 0,25 | низкая |
| 2.1.2. Кража носителей информации | 0,25 | низкая |
| 2.1.3. Кража ключей и атрибутов доступа | 0,35 | средняя |
| 2.1.4. Кражи, модификации, уничтожения информации | 0,25 | низкая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | 0,5 | средняя |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ | 0,25 | низкая |
| 2.1.7. Несанкционированное отключение средств защиты | 0,25 | низкая |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий). | ||
| 2.2.1. Действия вредоносных программ (вирусов) | 0,5 | средняя |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | 0,35 | средняя |
| 2.2.3. Установка ПО не связанного с исполнением служебных обязанностей | 0,25 | низкая |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. | ||
| 2.3.1. Утрата ключей и атрибутов доступа | 0,35 | средняя |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками | 0,25 | низкая |
| 2.3.3. Непреднамеренное отключение средств защиты | 0,25 | низкая |
| 2.3.4. Выход из строя аппаратно-программных средств | 0,35 | средняя |
| 2.3.5. Сбой системы электроснабжения | 0,25 | низкая |
| 2.3.6. Стихийное бедствие | 0,25 | |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей | ||
| 2.4.1. Доступ к информации, модификация, уничтожение лиц не допущенных к ее обработке | 0,25 | низкая |
| 2.4.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке | 0,35 | средняя |
| 2.5.Угрозы несанкционированного доступа по каналам связи. | ||
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: | 0,35 | средняя |
| 2.5.1.1. Перехват за переделами с контролируемой зоны | 0,5 | средняя |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями | 0,25 | низкая |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. | 0,25 | низкая |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | 0,25 | низкая |
| 2.5.3.Угрозы выявления паролей по сети | 0,5 | средняя |
| 2.5.4.Угрозы навязывание ложного маршрута сети | 0,35 | средняя |
| 2.5.5.Угрозы подмены доверенного объекта в сети | 0,35 | средняя |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | 0,35 | средняя |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | 0,5 | средняя |
| 2.5.8.Угрозы удаленного запуска приложений | 0,5 | средняя |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | 0,5 | средняя |
2.2.6 Оценка опасности угроз
Оценка опасности УБПДн представлена таблице 2.4.
Таблица 2.4 – Опасность УБПДн
| Тип угроз безопасности ПДн | Опасность
угрозы |
| 1.
Угрозы от утечки по | |
| 1.1.
Угрозы утечки акустической |
низкая |
| 1.2.
Угрозы утечки видовой |
высокая |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | низкая |
| 2.
Угрозы несанкционированного | |
| 2.1.
Угрозы уничтожения, хищения | |
| 2.1.1. Кража ПЭВМ | высокая |
| 2.1.2. Кража носителей информации | высокая |
| 2.1.3.
Кража ключей и атрибутов |
высокая |
| 2.1.4.
Кражи, модификации, |
высокая |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | средняя |
| 2.1.6.
Несанкционированный доступ к
информации при техническом |
высокая |
| 2.1.7.
Несанкционированное |
средняя |
| 2.2.
Угрозы хищения, | |
| 2.2.1. Действия вредоносных программ (вирусов) | высокая |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | низкая |
| 2.2.3.
Установка ПО не связанного
с исполнением служебных |
низкая |
| 2.3.
Угрозы не преднамеренных | |
| 2.3.1. Утрата ключей и атрибутов доступа | средняя |
| 2.3.2.
Непреднамеренная модификация ( |
высокая |
| 2.3.3.
Непреднамеренное отключение |
средняя |
| 2.3.4.
Выход из строя аппаратно- |
средняя |
| 2.3.5. Сбой системы электроснабжения | низкая |
| 2.3.6. Стихийное бедствие | средняя |
| 2.4.
Угрозы преднамеренных | |
| 2.4.1.
Доступ к информации, модификация,
уничтожение лиц не |
высокая |
| 2.4.2.
Разглашение информации, модификация,
уничтожение сотрудниками |
высокая |
| 2.5.Угрозы
несанкционированного доступа | |
| 2.5.1.Угроза
«Анализ сетевого трафика» с
перехватом передаваемой из |
средняя |
| 2.5.1.1.
Перехват за переделами с |
средняя |
| 2.5.1.2.
Перехват в пределах |
высокая |
| 2.5.1.3.Перехват
в пределах контролируемой |
средняя |
| 2.5.2.Угрозы
сканирования, направленные на выявление
типа или типов используемых
операционных систем, сетевых адресов
рабочих станций ИСПДн, |
средняя |
| 2.5.3.Угрозы выявления паролей по сети | средняя |
| 2.5.4.Угрозы навязывание ложного маршрута сети | низкая |
| 2.5.5.Угрозы подмены доверенного объекта в сети | низкая |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | низкая |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | средняя |
| 2.5.8.Угрозы удаленного запуска приложений | высокая |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | высокая |
2.2.6 Определение актуальности угроз в ИСПДн
Оценка актуальности угроз безопасности представлена в таблице 2.5.
Таблица 2.5 – Актуальность УБПДн
| Тип угроз безопасности ПДн | Опасность
угрозы |
| 1.
Угрозы от утечки по | |
| 1.1.
Угрозы утечки акустической |
неактуальная |
| 1.2.
Угрозы утечки видовой |
актуальная |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | неактуальная |
| 2.
Угрозы несанкционированного | |
| 2.1.
Угрозы уничтожения, хищения | |
| 2.1.1. Кража ПЭВМ | актуальная |
| 2.1.2. Кража носителей информации | актуальная |
| 2.1.3.
Кража ключей и атрибутов |
актуальная |
| 2.1.4.
Кражи, модификации, |
актуальная |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи | актуальная |
| 2.1.6.
Несанкционированный доступ к
информации при техническом |
актуальная |
| 2.1.7.
Несанкционированное |
|
| 2.2.
Угрозы хищения, | |
| 2.2.1. Действия вредоносных программ (вирусов) | актуальная |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных | неактуальная |
| 2.2.3.
Установка ПО не связанного
с исполнением служебных |
неактуальная |
| 2.3.
Угрозы не преднамеренных | |
| 2.3.1. Утрата ключей и атрибутов доступа | актуальная |
| 2.3.2.
Непреднамеренная модификация ( |
актуальная |
| 2.3.3.
Непреднамеренное отключение |
неактуальная |
| 2.3.4.
Выход из строя аппаратно- |
актуальная |
| 2.3.5. Сбой системы электроснабжения | неактуальная |
| 2.3.6. Стихийное бедствие | неактуальная |
| 2.4.
Угрозы преднамеренных | |
| 2.4.1.
Доступ к информации, модификация,
уничтожение лиц не |
актуальная |
| 2.4.2.
Разглашение информации, модификация,
уничтожение сотрудниками |
актуальная |
| 2.5.Угрозы
несанкционированного доступа | |
| 2.5.1.Угроза
«Анализ сетевого трафика» с
перехватом передаваемой из |
неактуальная |
| 2.5.1.1.
Перехват за переделами с |
актуальная |
| 2.5.1.2.
Перехват в пределах |
неактуальная |
| 2.5.1.3.Перехват
в пределах контролируемой |
неактуальная |
| 2.5.2.Угрозы
сканирования, направленные на выявление
типа или типов используемых
операционных систем, сетевых адресов
рабочих станций ИСПДн, |
неактуальная |
| 2.5.3.Угрозы выявления паролей по сети | актуальная |
| 2.5.4.Угрозы навязывание ложного маршрута сети | неактуальная |
| 2.5.5.Угрозы подмены доверенного объекта в сети | неактуальная |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях | неактуальная |
| 2.5.7.Угрозы типа «Отказ в обслуживании» | актуальная |
| 2.5.8.Угрозы удаленного запуска приложений | актуальная |
| 2.5.9.Угрозы внедрения по сети вредоносных программ | актуальная |
3. Оценка рисков РЕАЛИЗАЦИИ УГРОЗ ИСПДн ООО «Усольехимпром»
3.1 Оценка регуляторных рисков
Основой для оценки рисков в отношении оператора ПДн являются нормы законодательства, представленные в таблице 3.1.
Таблица 3.1 – Оценка регуляторных рисков в отношении оператора ПДн
| Источник | Номер статьи | Содержание статьи | Ожидаемая величина ущерба |
| 1 | 2 | 3 | 4 |
| [1] | 23 | Уполномоченный
орган по защите прав субъектов персональных
данных имеет право:
4) принимать в
установленном |
Недополученный
доход от бизнес процессов связанных
с работой ИСПДн.
Ущерб репутации. |
| [15] | 237 | Моральный вред, причиненный
работнику неправомерными действиями
или бездействием работодателя, возмещается
работнику в денежной форме в
размерах, определяемых соглашением
сторон трудового договора.
В случае возникновения спора факт причинения работнику морального вреда и размеры его возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба. |
Сумма возмещения морального ущерба. |
| [16] | 151 | Если гражданину
причинен моральный вред (физические
или нравственные страдания) действиями,
нарушающими его личные неимущественные
права либо посягающими на принадлежащие
гражданину другие нематериальные блага,
а также в других случаях, предусмотренных
законом, суд может возложить
на нарушителя обязанность денежной
компенсации указанного вреда.
При определении
размеров компенсации морального вреда
суд принимает во внимание степень
вины нарушителя и иные заслуживающие
внимания обстоятельства. Суд должен
также учитывать степень |
Сумма возмещения морального ущерба |
| [16] | 152.1 | Обнародование и
дальнейшее использование изображения
гражданина (в том числе его
фотографии, а также видеозаписи
или произведения изобразительного
искусства, в которых он изображен)
допускаются только с согласия этого
гражданина. После смерти гражданина
его изображение может 1) использование
изображения осуществляется в
государственных, общественных 2) изображение гражданина
получено при съемке, которая
проводится в местах, открытых
для свободного посещения, или
на публичных мероприятиях (собраниях,
съездах, конференциях, концертах,
представлениях, спортивных соревнованиях
и подобных мероприятиях), за исключением
случаев, когда такое 3) гражданин позировал за плату. |
|
| [17] | 5.27 | Нарушение законодательства
о труде и об охране труда влечет
наложение административного |
40 тыс. руб. |
| [17] | 13.11 | Нарушение установленного
законом порядка сбора, хранения,
использования или |
8 тыс.руб. |
| [17] | 13.12 | Использование несертифицированных
информационных систем, баз и банков
данных, а также несертифицированных
средств защиты информации, если они
подлежат обязательной сертификации (за
исключением средств защиты информации,
составляющей государственную тайну),
–
влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. |
15 тыс.руб. |
| [17] | 13.13 | Занятие видами деятельности
в области защиты информации (за
исключением информации, составляющей
государственную тайну) без получения
в установленном порядке |
15 тыс.руб. |
| [17] | 19.5 | Невыполнение в установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства – влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц – от одной тысячи до двух тысяч рублей или дисквалификацию на срок до трех лет; на юридических лиц – от десяти тысяч до двадцати тысяч рублей. | 15 тыс.руб. |
| [17] | 19.7 | Непредставление или несвоевременное представление в государственный орган (должностному лицу) сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, а равно представление в государственный орган (должностному лицу) таких сведений (информации) в неполном объеме или в искаженном виде, за исключением случаев, предусмотренных статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.8, 19.19 настоящего Кодекса, – влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц – от трехсот до пятисот рублей; на юридических лиц – от трех тысяч до пяти тысяч рублей. | 4 тыс.руб. |
| [17] | 19.20 | Осуществление деятельности,
не связанной с извлечением |
15 тыс.руб. |
Таким образом,
несоблюдение требований регулирующих
органов в области защиты ПДн
может повлечь наложение на оператора
ПДн штрафа до 112 тысяч рублей единовременно,
а так же может быть возложена
обязанность денежной компенсации
вреда субъекту ПДн, последовать
конфискация
После выявление нарушений оператору ПДн будет выписано предписание с указанием сроков и необходимых мер по их устранению. По наступлению указанных в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены санкции к оператору ПДн и выписано очередное предписание.
В таком случае, потенциальные финансовые потери за период 3 лет будут составлять:
, (1)
где П – потенциальные финансовые потери за счет регуляторных рисков за период 3 года;
I – размер возможного штрафа со стороны регулирующих органов в год, в случае отсутствия СЗПДн;
M – размер денежной компенсации субъекту ПДн в год, учитывая наличие в базах данных оператора ПДн 20 000 субъектов ПДн;
K – финансовые
потери в случае конфискации
несертифицированных средств
Размер возможного штрафа со стороны регулирующих органов в год с учетом среднего штрафа в размере 70% от максимального и наличия трёх проверок в год (одна плановая, последующие – контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен:
, рублей
Исходя из
опыта судебного
, рублей
Финансовые
потери в случае конфискации
Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле (1) будут составлять:

- Анализ защищенности сетей
- Анализ земель населенных пунктов
- Анализ землетрясений
- Анализ зерна аустенита
- Анализ значений рождественских символов Германии и России
- Анализ значимости отраслевых барьеров входа
- Анализ и бух учет
- Анализ затрат на рубль товарной продукции
- Анализ затрат на управление качеством
- Анализ затрат по экономическим элементам
- Анализ затрат, произведенных организацией
- Анализ затрат рабочего времени
- Анализ затрат труда на производство мяса
- Анализ «затраты - объем - прибыль»