Анализ защищенности

Анализ защищенности

2. АНАЛИЗ ОСОБЕННОСТЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДПРИЯТИЯ ООО «Усольехимпром»

2.1 Анализ структуры информационной системы и обрабатываемых в ней персональных данных

 

Основой ИСПДн ООО «Усольехимпром» является локальная вычислительная сеть (ЛВС), в которую включены более  400 рабочих мест оснащенных персональными компьютерами  PC  разных поколений. Она объединяет  более 20 зданий:  центральный офис,  службы директора по логистике, службы директора технического, центральную и санитарную лаборатории и все технологические цеха. Архитектура магистралей сети представляет собой звезду, где центром является коммутатор, установленный в центральном офисе, а оконечными узлами все коммутаторы зданий, расположенные в остальных корпусах предприятия. Внутри корпуса рабочие станции в рамках одного этажа подключаются к коммутатору (концентратору) рабочей группы, который соединен с коммутатором здания. Межэтажные соединения и подключение рабочих станций осуществляется с помощью неэкранированной витой пары пятой категории. Для связи между зданиями  используется волоконно-оптический кабель. Значительно удалённые объекты   подключены с использованием  существующих телефонных  линий и цифровых модемов (DSL) Pair Gain, Prestige. Используются технологии  Ethernet,  Fast Ethernet,  Gigabit Ethernet, протоколы передачи данных: IP, IPX.

В составе  сети задействовано оборудование, размещённое  в четырёх корпусах:

  • Корпус 4301-управление: плановый отдел, производственный отдел, отдел труда, отдел ценных бумаг, бухгалтерия, отдел АСУП, отдел оборудования, финансовый отдел, служба подсобного хозяйства.
  • Корпус 4310-размещены службы: отдел кадров, отдел снабжения, отдел сбыта, юридический отдел, транспортный отдел, управление торговли.
  • Корпус 4045-размещены службы: отдел главного энергетика, отдел главного механика, отдел охраны природы.
  • Корпус 3302-размещены службы: цех электроснабжения, лаборатория метрологии.
 

Рисунок 2.1 – Структура ИСПДн ООО «Усольехимпром»

Ядро ЛВС  составляют:

  • Файл-сервер HP ML350 G4  с двумя процессорами  Xeon – 3.0,  оперативной памятью 4 Гб.,   шестью  HDD Raid – 5 емкостью 72 Гб., под управлением сетевой операционной системы (ОС)  Novell NetWare 5.0.  К серверу подключено устройство резервного копирования автозагрузчик HP SureStore DLT Autoloader 418;
  • Сервер баз данных  HP ML350 G4  с двумя процессорами  Xeon – 3.0,  оперативной памятью 3 Гб.,   шестью  HDD Raid – 5 емкостью 72 Гб., под управлением операционной системы (ОС)  Windows Server 2003;
  • Для организации работы с Internet  используются два сервера HP NetServer E 45   и программное обеспечение   Border Manager 3.5   совместно с системой управления каталогами  (NDS);
  • Сервер HP ML350 G4  с процессором Xeon – 3.0,  оперативной памятью 2 Гб.,   двумя HDD  емкостью 72 Гб. используется для организации электронной почты и размещения внутреннего сайта предприятия.

Информационная  система (ИС)  ООО “Усольехимпром”  состоит из следующих функциональных подсистем:  основное производство, вспомогательное производство, бухгалтерский  учет, сбыт, снабжение, финансы, трудовые ресурсы.

Задачи  функциональных подсистем  разрабатываются  с помощью  СУБД  MS Visual FoxPro 5.0 (8.0), MS SQL Server 2005.

 На платформе  MS SQL Server 2005  построен электронный документооборот, включающий в себя следующие блоки: подготовка распорядительных документов (РД) в электронном виде, согласование РД с использованием электронной цифровой подписи (ЭЦП),  помещение  утвержденных РД в электронную базу данных и организация доступа к ним  руководителей и специалистов через внутренний корпоративный сайт предприятия.

В сети используется витая пара 5-го уровня. Связь корпусов между собой осуществляется через  оптоволоконное соединение.

В зависимости  от расположения рабочих станций  в сети используются коммутаторы  в основном фирмы 3Сом. Сетевые карты  в основном фирм 3Сом и Cnet.

Ключевую  роль в сети играет файл-сервер под  управлением сетевой операционной системы (ОС)  Novell NetWare 5.0.

За основу ИСПДн предприятия ООО «Усольехимпром»  взята ИСПДн «1С: Зарплата и Кадры». В ИСПДн обрабатываются такие персональные данные сотрудников как фамилия, имя, отчество, дата рождения, паспортные данные, данные о регистрации, данные об изменениях должностного положения, ИНН, СНИЛС, номер страхового медполиса, финансовые данные. 
 

 

 

Таблица 2.1 – Анализ состава ПДн

Анализируемый состав ПДн Комментарии Категория ПДн
Фамилия, имя, отчество (ФИО). С одной стороны  одни и те же ФИО могут иметь  различные люди, с другой существуют ФИО редкие, принадлежащие только одному конкретному человеку.

Учитывая наличие  значительного количества таких  данных в базах данных ИСПДн существует достаточно большая вероятность  наличия в них уникальных ФИО. Таким образом, предлагается изначально предполагать, что такие данные позволяют  идентифицировать субъекта ПДн.

3
Дата рождения. По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо. 4 (обезличенные)
Паспортные  данные. Наличие в составе  паспортных данных уникального номера позволяет идентифицировать субъекта ПДн. Наличие других данных позволяет  получить о человеке дополнительную информацию. 2
Данные  о регистрации (включают дату и место  регистрации по месту жительства). Одни и те же данные о регистрации могут иметь  различные люди, но существуют адреса, по которым зарегистрирован только один человек.

Учитывая наличие  значительного количества таких  данных в базах данных, существует достаточно большая вероятность  наличия в них адресов, по которым  зарегистрирован один человек. Таким  образом, эти данные позволяют идентифицировать человека.

3
Данные  об изменениях должностного положения. По базе данных, содержащей только данные сведения, Невозможно определить их принадлежность к кому-либо. 4 (обезличенные)
ИНН, СНИЛС, номер страхового медполиса. По данным сведениям  существует возможность определить их принадлежность к конкретному  человеку, следовательно, они не являются обезличенными. 3
Финансовые  данные По базе данных, содержащей только данные сведения, невозможно определить их принадлежность к кому-либо. 4 (обезличенные)

 

В результате можно сделать вывод что в ИСПДн ООО «Усольехимпром» обрабатываются ПДн 2 категории. 

Рисунок 2.2 – Схема расположения объекта 

Рисунок 2.3 – Схема головного здания

 

2.2 Анализ системы обеспечения безопасности ИСПДн предприятия ООО «Усольехимпром»

2.2.1 Структура службы  безопасности предприятия

 

Служба безопасности на предприятии имеет разветвленную  структуру в которой каждый руководитель отвечает за свой отдел в системе  безопасности. Блок-схема службы безопасности представлена на рисунке 2.4.

Рисунок 2.4 – Блок-схема службы безопасности

2.2.2 Организационно-правовые меры обеспечения безопасности предприятия

 

В отделе безопасности предприятия имеются следующие организационно-правовые документы:

  • положение об отделе информатизации, учета техники и кадровой политики;
  • положение о порядке обработки и обеспечении безопасности персональных данных;
  • положение о персональных данных сотрудников, обрабатываемых без использования средств автоматизации;
  • Перечень АС ИСПДн;
  • Перечень КИ;
  • Список лиц, допущенных к работе на АС (ИСПДн);
  • Должностные инструкции: администратора ИСПДн, пользователя ИСПДн, администратора безопасности ИСПДн;
  • Модель УБ ПДн;
  • Акт классификации ИСПДн.

А так же все сотрудники предприятия дали свое письменное согласие на использование  их персональных данных.

2.2.3 Программные средства обеспечения безопасности предприятия

 

Для программной  защиты информации на предприятии задействованы  межсетевые экраны и встроенные средства Novell NetWare.

Соединение  с внешней сетью интернет происходит через NAT, что позволяет предотвратить или ограничить обращение снаружи к внутренним хостам.

На предприятии  используется внутренняя почта функционирующая на сервере с Windows 2000 Server MDaemon (почтовый сервер) и существует внутренний сайт.

Антивирусную защиту обеспечивает Kaspersky Work Space Security с централизованным управлением. Антивирусная защита Kaspersky Work Space Security предоставляет администратору такие функции контроля рабочих мест как:

  • Контроль запуска программ. Позволяет администратору производить аудит использования приложений, разрешать или блокировать их запуск.
  • Белые списки. Система категоризации позволяет администратору создавать правила запуска программ на основе локального белого списка или с помощью обновляемого из «облака» списка программ, сгруппированных по определенным категориям.
  • Контроль активности программ. Позволяет контролировать действия программ и при необходимости ограничивать их доступ к различным ресурсам системы.
  • Поиск уязвимостей. Осуществляет проверку операционной системы и используемых программ на наличие уязвимостей, выявляет необходимость установки обновлений операционной системы и приложений, помогая предотвратить заражение корпоративной сети.
  • Контроль устройств. Применение настраиваемых политик использования внешних устройств снижает риск потери данных и утечки конфиденциальной информации. Администратор может гибко настроить политики контроля доступа к внешним устройствам в зависимости от типа устройств, шины подключения или ID (идентификационного номера) конкретных устройств.
  • Веб-Контроль. Обеспечивает мониторинг и контроль доступа пользователей к веб-ресурсам, позволяет регулировать права доступа сотрудников в корпоративной сети и за ее пределами к веб-ресурсам в зависимости от категории, содержания и типа данных.

Аутентификация пользователей АРМ проходит посредством связки логин/пароль. Пароль изменяется каждые три месяца и имеет длину не менее 8 символов. После успешной авторизации пользователь получает доступ к АРМ и сетевому хранилищу. В сетевом хранилище пользователь может пользоваться только той информацией, к которой он имеет права доступа.

Так же все  данные хранящиеся на серверах подвергаются плановому резервному копированию  раз в неделю.

2.2.4 Физические средства обеспечения безопасности предприятия

 

Здание имеет  кирпичные стены толщиной не менее  полуметра, в оконных проемах  установлены рамы с двойным стеклом, все двери снабжены замками, в  кабинетах руководителей имеются  личные сейфы. На проходной находится  контрольно-пропускной пункт постоянно  охраняемый как минимум двумя  сотрудниками отдела безопасности, а  так же установлены турникеты  с системой пропуска по смарт-картам, сервер управления которой находится  в серверной. Входная дверь серверной  дополнительно снабжена кодовым  замком. Правом входа в серверную обладают только сотрудники информационной службы и сотрудники службы безопасности.

2.2.5 Исходный уровень  защищенности ИСПДн

 

Под общим  уровнем защищенности понимается обобщенный показатель, зависящий от технических  и эксплуатационных характеристик  ИСПДн (Y1).

Таблица 2.2 – Исходный уровень защищенности

Позиция Технические и эксплуатационные характеристики Уровень

защищенности

1 По территориальному размещению распределенная ИСПДн, развернутая в нескольких зданиях находящихся на одной территории
2 По наличию соединения с сетями общего пользования ИСПДн, имеющая выход в сеть общего пользования
3 По встроенным (легальным) операциям с записями баз персональных данных запись, удаление, сортировка, модификация, передача
4 По разграничению  доступа к персональным данным ИСПДн, к которой  имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
5 По наличию соединений с другими базами ПДн иных ИСПДн ИСПДн, в которой  используется одна база ПДн, принадлежащая  организации - владельцу данной базы
6 По уровню (обезличивания) ПДн ИСПДн, в которой  предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
7 По объему ПДн, которые  предоставляются сторонним пользователям  ИСПДн без предварительной обработки ИСПДн, не предоставляющие  никакой информации сторонним пользователям

2.2.5 Реализуемость угроз

По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y1 + Y2)/20

Оценка реализуемости  УБПДн представлена в таблице 2.3.

Таблица 2.3 – Реализуемость УБПДн

Тип угроз безопасности ПДн Коэффициент реализуемости угрозы (Y) Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации 0,25 низкая
1.2. Угрозы утечки видовой информации 0,35 средняя
1.3. Угрозы утечки информации по каналам ПЭМИН 0,25 низкая
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ 0,25 низкая
2.1.2. Кража носителей информации 0,25 низкая
2.1.3. Кража ключей и атрибутов доступа 0,35 средняя
2.1.4. Кражи, модификации, уничтожения информации 0,25 низкая
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи 0,5 средняя
2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ 0,25 низкая
2.1.7. Несанкционированное отключение средств защиты 0,25 низкая
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов) 0,5 средняя
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных 0,35 средняя
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей 0,25 низкая
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа 0,35 средняя
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками 0,25 низкая
2.3.3. Непреднамеренное отключение средств защиты 0,25 низкая
2.3.4. Выход из строя аппаратно-программных средств 0,35 средняя
2.3.5. Сбой системы электроснабжения 0,25 низкая
2.3.6. Стихийное бедствие 0,25  
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение  лиц не допущенных к ее обработке 0,25 низкая
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке 0,35 средняя
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: 0,35 средняя
2.5.1.1. Перехват за переделами с контролируемой зоны 0,5 средняя
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями 0,25 низкая
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. 0,25 низкая
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. 0,25 низкая
2.5.3.Угрозы выявления паролей по сети 0,5 средняя
2.5.4.Угрозы навязывание ложного маршрута сети 0,35 средняя
2.5.5.Угрозы подмены доверенного объекта в сети 0,35 средняя
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях 0,35 средняя
2.5.7.Угрозы типа «Отказ в обслуживании» 0,5 средняя
2.5.8.Угрозы удаленного запуска приложений 0,5 средняя
2.5.9.Угрозы внедрения по сети вредоносных программ 0,5 средняя

2.2.6 Оценка опасности угроз

 

Оценка опасности  УБПДн представлена таблице 2.4.

Таблица 2.4 – Опасность УБПДн

Тип угроз безопасности ПДн Опасность

угрозы

1. Угрозы от утечки по техническим  каналам.
1.1. Угрозы утечки акустической информации низкая
1.2. Угрозы утечки видовой информации высокая
1.3. Угрозы утечки информации по  каналам ПЭМИН низкая
2. Угрозы несанкционированного доступа  к информации.
2.1. Угрозы уничтожения, хищения аппаратных  средств ИСПДн носителей информации  путем физического доступа к  элементам ИСПДн
2.1.1. Кража ПЭВМ высокая
2.1.2. Кража носителей информации высокая
2.1.3. Кража ключей и атрибутов доступа высокая
2.1.4. Кражи, модификации, уничтожения  информации высокая
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи средняя
2.1.6. Несанкционированный доступ к  информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ высокая
2.1.7. Несанкционированное отключение  средств защиты средняя
2.2. Угрозы хищения, несанкционированной  модификации или блокирования  информации за счет несанкционированного  доступа (НСД) с применением  программно-аппаратных и программных  средств (в том числе программно-математических  воздействий).
2.2.1. Действия вредоносных программ (вирусов) высокая
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных низкая
2.2.3. Установка ПО не связанного  с исполнением служебных обязанностей низкая
2.3. Угрозы не преднамеренных действий  пользователей и нарушений безопасности  функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов  доступа средняя
2.3.2. Непреднамеренная модификация (уничтожение)  информации сотрудниками высокая
2.3.3. Непреднамеренное отключение средств  защиты средняя
2.3.4. Выход из строя аппаратно-программных  средств средняя
2.3.5. Сбой системы электроснабжения низкая
2.3.6. Стихийное бедствие средняя
2.4. Угрозы преднамеренных действий  внутренних нарушителей
2.4.1. Доступ к информации, модификация,  уничтожение  лиц не допущенных  к ее обработке высокая
2.4.2. Разглашение информации, модификация,  уничтожение сотрудниками допущенными  к ее обработке высокая
2.5.Угрозы  несанкционированного доступа по  каналам связи.
2.5.1.Угроза  «Анализ сетевого трафика» с  перехватом передаваемой из ИСПДн  и принимаемой из внешних сетей  информации: средняя
2.5.1.1. Перехват за переделами с контролируемой  зоны средняя
2.5.1.2. Перехват в пределах контролируемой  зоны внешними нарушителями высокая
2.5.1.3.Перехват  в пределах контролируемой зоны  внутренними нарушителями. средняя
2.5.2.Угрозы  сканирования, направленные на выявление  типа или типов используемых  операционных систем, сетевых адресов  рабочих станций ИСПДн, топологии  сети, открытых портов и служб,  открытых соединений и др. средняя
2.5.3.Угрозы  выявления паролей по сети средняя
2.5.4.Угрозы  навязывание ложного маршрута  сети низкая
2.5.5.Угрозы  подмены доверенного объекта  в сети низкая
2.5.6.Угрозы  внедрения ложного объекта как  в ИСПДн, так и во внешних  сетях низкая
2.5.7.Угрозы  типа «Отказ в обслуживании» средняя
2.5.8.Угрозы  удаленного запуска приложений высокая
2.5.9.Угрозы  внедрения по сети вредоносных  программ высокая

2.2.6 Определение актуальности угроз в ИСПДн

Оценка актуальности угроз безопасности представлена в  таблице 2.5.

Таблица 2.5 – Актуальность УБПДн

Тип угроз безопасности ПДн Опасность

угрозы

1. Угрозы от утечки по техническим  каналам.
1.1. Угрозы утечки акустической информации неактуальная
1.2. Угрозы утечки видовой информации актуальная
1.3. Угрозы утечки информации по  каналам ПЭМИН неактуальная
2. Угрозы несанкционированного доступа  к информации.
2.1. Угрозы уничтожения, хищения аппаратных  средств ИСПДн носителей информации  путем физического доступа к  элементам ИСПДн
2.1.1. Кража ПЭВМ актуальная
2.1.2. Кража носителей информации актуальная
2.1.3. Кража ключей и атрибутов доступа актуальная
2.1.4. Кражи, модификации, уничтожения  информации актуальная
2.1.5. Вывод из строя узлов ПЭВМ, каналов связи актуальная
2.1.6. Несанкционированный доступ к  информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ актуальная
2.1.7. Несанкционированное отключение  средств защиты  
2.2. Угрозы хищения, несанкционированной  модификации или блокирования  информации за счет несанкционированного  доступа (НСД) с применением  программно-аппаратных и программных  средств (в том числе программно-математических  воздействий).
2.2.1. Действия вредоносных программ (вирусов) актуальная
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных неактуальная
2.2.3. Установка ПО не связанного  с исполнением служебных обязанностей неактуальная
2.3. Угрозы не преднамеренных действий  пользователей и нарушений безопасности  функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов  доступа актуальная
2.3.2. Непреднамеренная модификация (уничтожение)  информации сотрудниками актуальная
2.3.3. Непреднамеренное отключение средств  защиты неактуальная
2.3.4. Выход из строя аппаратно-программных  средств актуальная
2.3.5. Сбой системы электроснабжения неактуальная
2.3.6. Стихийное бедствие неактуальная
2.4. Угрозы преднамеренных действий  внутренних нарушителей
2.4.1. Доступ к информации, модификация,  уничтожение  лиц не допущенных  к ее обработке актуальная
2.4.2. Разглашение информации, модификация,  уничтожение сотрудниками допущенными  к ее обработке актуальная
2.5.Угрозы  несанкционированного доступа по  каналам связи.
2.5.1.Угроза  «Анализ сетевого трафика» с  перехватом передаваемой из ИСПДн  и принимаемой из внешних сетей  информации: неактуальная
2.5.1.1. Перехват за переделами с контролируемой  зоны актуальная
2.5.1.2. Перехват в пределах контролируемой  зоны внешними нарушителями неактуальная
2.5.1.3.Перехват  в пределах контролируемой зоны  внутренними нарушителями. неактуальная
2.5.2.Угрозы  сканирования, направленные на выявление  типа или типов используемых  операционных систем, сетевых адресов  рабочих станций ИСПДн, топологии  сети, открытых портов и служб,  открытых соединений и др. неактуальная
2.5.3.Угрозы  выявления паролей по сети актуальная
2.5.4.Угрозы  навязывание ложного маршрута  сети неактуальная
2.5.5.Угрозы  подмены доверенного объекта  в сети неактуальная
2.5.6.Угрозы  внедрения ложного объекта как  в ИСПДн, так и во внешних  сетях неактуальная
2.5.7.Угрозы  типа «Отказ в обслуживании» актуальная
2.5.8.Угрозы  удаленного запуска приложений актуальная
2.5.9.Угрозы  внедрения по сети вредоносных  программ актуальная

 

 

3. Оценка рисков РЕАЛИЗАЦИИ УГРОЗ ИСПДн ООО «Усольехимпром»

3.1 Оценка регуляторных  рисков

Основой для  оценки рисков в отношении оператора  ПДн являются нормы законодательства, представленные в таблице 3.1.

 

Таблица 3.1 – Оценка регуляторных рисков в отношении оператора ПДн

Источник Номер статьи Содержание статьи Ожидаемая величина ущерба
1 2 3 4
[1] 23 Уполномоченный  орган по защите прав субъектов персональных данных имеет право:

4) принимать в  установленном законодательством  Российской Федерации порядке  меры по приостановлению или  прекращению обработки персональных  данных, осуществляемой с нарушением  требований настоящего Федерального  закона.

Недополученный  доход от бизнес процессов связанных  с работой ИСПДн.

Ущерб репутации.

[15] 237 Моральный вред, причиненный  работнику неправомерными действиями или бездействием работодателя, возмещается  работнику в денежной форме в  размерах, определяемых соглашением  сторон трудового договора.

В случае возникновения  спора факт причинения работнику  морального вреда и размеры его  возмещения определяются судом независимо от подлежащего возмещению имущественного ущерба.

Сумма возмещения морального ущерба.
[16] 151 Если гражданину причинен моральный вред (физические или нравственные страдания) действиями, нарушающими его личные неимущественные  права либо посягающими на принадлежащие  гражданину другие нематериальные блага, а также в других случаях, предусмотренных  законом, суд может возложить  на нарушителя обязанность денежной компенсации указанного вреда.

При определении  размеров компенсации морального вреда  суд принимает во внимание степень  вины нарушителя и иные заслуживающие  внимания обстоятельства. Суд должен также учитывать степень физических и нравственных страданий, связанных  с индивидуальными особенностями  лица, которому причинен вред.

Сумма возмещения морального ущерба
[16] 152.1 Обнародование и  дальнейшее использование изображения  гражданина (в том числе его  фотографии, а также видеозаписи  или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого  гражданина. После смерти гражданина его изображение может использоваться только с согласия детей и пережившего  супруга, а при их отсутствии –  с согласия родителей. Такое согласие не требуется в случаях, когда:

1) использование  изображения осуществляется в  государственных, общественных или  иных публичных интересах;

2) изображение гражданина  получено при съемке, которая  проводится в местах, открытых  для свободного посещения, или  на публичных мероприятиях (собраниях,  съездах, конференциях, концертах,  представлениях, спортивных соревнованиях  и подобных мероприятиях), за исключением  случаев, когда такое изображение  является основным объектом использования;

3) гражданин позировал  за плату.

 
[17] 5.27 Нарушение законодательства о труде и об охране труда влечет наложение административного штрафа на должностных лиц в размере  от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую  деятельность без образования юридического лица, – от одной тысячи до пяти тысяч  рублей или административное приостановление  деятельности на срок до девяноста  суток; на юридических лиц – от тридцати тысяч до пятидесяти тысяч  рублей или административное приостановление  деятельности на срок до девяноста  суток. 40 тыс. руб.
[17] 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения  информации о гражданах (персональных данных) – влечет предупреждение или  наложение административного штрафа на граждан в размере от трехсот  до пятисот рублей; на должностных  лиц – от пятисот до одной тысячи рублей; на юридических лиц –  от пяти тысяч до десяти тысяч рублей. 8 тыс.руб.
[17] 13.12 Использование несертифицированных  информационных систем, баз и банков данных, а также несертифицированных  средств защиты информации, если они  подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), –

влечет наложение  административного штрафа на граждан  в размере от пятисот до одной  тысячи рублей с конфискацией несертифицированных  средств защиты информации или без  таковой; на должностных лиц –  от одной тысячи до двух тысяч рублей; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с  конфискацией несертифицированных  средств защиты информации или без  таковой.

15 тыс.руб.
[17] 13.13 Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения  в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение  административного штрафа на граждан  в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц – от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц – от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. 15 тыс.руб.
[17] 19.5 Невыполнение в  установленный срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего  государственный надзор (контроль), об устранении нарушений законодательства – влечет наложение административного  штрафа на граждан в размере от трехсот до пятисот рублей; на должностных  лиц – от одной тысячи до двух тысяч рублей или дисквалификацию  на срок до трех лет; на юридических  лиц – от десяти тысяч до двадцати тысяч рублей. 15 тыс.руб.
[17] 19.7 Непредставление или  несвоевременное представление  в государственный орган (должностному лицу) сведений (информации), представление  которых предусмотрено законом  и необходимо для осуществления  этим органом (должностным лицом) его  законной деятельности, а равно представление  в государственный орган (должностному лицу) таких сведений (информации) в  неполном объеме или в искаженном виде, за исключением случаев, предусмотренных  статьями 19.7.1, 19.7.2, 19.7.3, 19.7.4, 19.8, 19.19 настоящего Кодекса, – влечет наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц – от трехсот до пятисот рублей; на юридических лиц – от трех тысяч до пяти тысяч рублей. 4 тыс.руб.
[17] 19.20 Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от пятисот  до одной тысячи рублей; на должностных  лиц – от одной тысячи до двух тысяч рублей; на юридических лиц  – от десяти тысяч до двадцати тысяч  рублей. 15 тыс.руб.

 

Таким образом, несоблюдение требований регулирующих органов в области защиты ПДн  может повлечь наложение на оператора  ПДн штрафа до 112 тысяч рублей единовременно, а так же может быть возложена  обязанность денежной компенсации  вреда субъекту ПДн, последовать  конфискация несертифицированных  средств защиты, приостановление  или прекращение обработки персональных данных.

После выявление  нарушений оператору ПДн будет  выписано предписание с указанием  сроков и необходимых мер по их устранению. По наступлению указанных  в предписании сроков по выполнению требований, будет произведена проверка на их исполнение. В случае отрицательного результата, будут повторно применены  санкции к оператору ПДн и  выписано очередное предписание.

В таком  случае, потенциальные финансовые потери за период 3 лет будут составлять:

, (1)

где П –  потенциальные финансовые потери за счет регуляторных рисков за период 3 года;

I – размер  возможного штрафа со стороны  регулирующих органов в год,  в случае отсутствия СЗПДн;

M – размер  денежной компенсации субъекту  ПДн в год, учитывая наличие  в базах данных оператора ПДн  20 000 субъектов ПДн;

K – финансовые  потери в случае конфискации  несертифицированных средств защиты  информации в год.

Размер возможного штрафа со стороны регулирующих органов  в год с учетом среднего штрафа в размере 70% от максимального и  наличия трёх проверок в год (одна плановая, последующие – контроль выполнения предписаний) в случае отсутствия СЗПДн будет равен:

, рублей

Исходя из опыта судебного делопроизводства размер возмещения ущерба субъекту ПДн  обычно не превышает 2500 рублей. Взяв в  расчёт, что в базах данных оператора  ИСПДн обрабатываются ПДн 5 000 субъектов  ПДн, средний размер возмещения ущерба равным 1 500 рублей, процент утечки ПДн  из базы данных оператора 30% в год  и 25% субъектов, потенциально подающих заявление на возмещение материального  ущерба, размер необходимых выплат оператором субъектам ПДн в год  будет составлять:

, рублей

Финансовые  потери в случае конфискации несертифицированных  средств защиты информации, с учетом используемых в ИСПДн СЗИ, будут  составлять 100 000 рублей в год.

Потенциальные финансовые потери за период 3 года за счет регуляторных рисков согласно формуле  (1) будут составлять:

Анализ защищенности