Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Перечень данных характеристик и показатели защищенности ИСПДн, зависящие от них, показаны в таблице 2[2]. Данный показатель рассчитывается для ИСПДн, исходя из обобщенных характеристик объекта информатизации.
Для определения исходной защищенности ИСПДн должно быть рассчитано процентное соотношение каждого уровня защищенности ко всем характеристикам, имеющим место для ИСПДн.
Таблица 2 – Показатели исходной защищенности ИСПДн
| Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
| Высокий | Средний | Низкий | |
| По территориальному размещению | |||
| распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом | |||
| городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) | |||
| корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации | |||
| локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий | |||
| локальная ИСПДн, развернутая в пределах одного здания | |||
| По наличию соединения с сетями общего пользования | |||
| ИСПДн, имеющая многоточечный выход в сеть общего пользования | |||
| ИСПДн, имеющая одноточечный выход в сеть общего пользования | |||
| ИСПДн, физически отделенная от сети общего пользования | |||
| По встроенным (легальным) операциям с записями баз ПДн | |||
| чтение, поиск | |||
| запись, удаление, сортировка | |||
| модификация, передача | |||
| По разграничению доступа к персональным данным | |||
| ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн | |||
| ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн | |||
| ИСПДн с открытым доступом | |||
| По наличию соединений с другими базами ПДн иных ИСПДн | |||
| Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) | |||
| ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн | |||
| По уровню обобщения (обезличивания) ПДн | |||
| ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.) | |||
| ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации | |||
| ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | |||
| По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки | |||
| ИСПДн, предоставляющая всю базу данных с ПДн | |||
| ИСПДн, предоставляющая часть ПДн | |||
| ИСПДн, не предоставляющие никакой информации | |||
| Количество решений | |||
| Общее количество решений |
Принимается, что ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий», а остальные уровню «средний».
В случае, если не менее 70% характеристик ИСПДн относится к уровню «не ниже среднего», а остальные к уровню «низкий», то исходная защищенность ИСПДн будет среднего уровня.
Во всех остальных случаях ИСПДн будет иметь низкий уровень защищенности.