Хороший вопрос. Привожу свои рассуждения из моей методики защиты ПДн.
Явно выраженная тенденция государства, направленная на расширение предоставления информационных услуг населению посредством доступа к ресурсам государственных информационных систем может вызвать появление следующих вопросов:
1. Принадлежат ли рабочие места пользователей ГИС, не являющихся сотрудниками Оператора этой ГИС, к ГИС?
2. Каков должен быть класс защищенности (для ГИС в соответствии с приказом «17 ФСТЭК используется термин класс защищенности) и уровень защищенности (по тому же приказу при обработке персональных данных в ГИС наряду с приказом № 17 должен применяться приказ № 21) и, соответственно, какова должна быть система защиты информационной системы пользователя ГИС, если эта система не принад-лежит ГИС?
В качестве примера можно привести создание государственной информационной системы Владимирской области «Региональный сегмент единой федеральной межведомственной системы учета контингента обучающихся по основным образовательным программам и до-полнительным общеобразовательным программам» (далее - ГИС РС «Контингент»). Данная ГИС создается в соответствии с распоряжением Правительства от 25 октября 2014 г. N 2125-р.
Подразумевается, что пользователями этой ГИС должны стать лица различной категории. Во-первых, это официально назначенные сотрудники таких учреждений как школы, колледжи, детские сады и, возможно, других аналогичных учреждений. Это привилегированные пользователи ГИС, которые имеют право на ввод и модификацию данных, в частности персональных. Объем и состав данных, обрабатываемых этими пользователями ограничивается конкретным контингентом субъектов конкретного учреждения.
Другая категория пользователей (конечные пользователи) – это родители детей и, собственно, учащиеся, которые могут получать информационные услуги. Эти пользователи могут составлять запросы к ГИС и получать информацию, ограниченную контекстом их персональных данных.
Класс защищенности и уровень защищенности, которые должны быть обеспечены в ИСПДн привилегированного пользователя, не являющегося сотрудником Оператора ГИС, не
обязан совпадать с классом и уровнем защищенности самой ГИС. Очевидно, что объем субъектов персональных данных, обрабатываемых, например, в конкретной школе, неизмеримо меньше всего объема персональных данных ГИС. Потенциальный нарушитель может нарушить конфиденциальность только той информации, которая доступна легальному пользователю данной ИСПДн. Потенциальный нарушитель может изменить (удалить) только ту информацию ГИС, которая доступна легальному пользователю. Изменение параметров ИСПДн потенциальным нарушителем, влияющих на доступность информации (например, блокирование входа в операционную систему компьютера), окажет влияние только на легальных пользователей данной организации.
Далее, модель угроз и модель нарушителя могут в корне различаться для ИСПДн конкретного учреждения и всей ГИС. Поэтому механический перенос класса и уровня защищенности, определенный Оператором ГИС для ГИС, может привести к неоправданно завышенному классу и уровню защищенности ИСПДн, например, конкретного детского сада и, соответственно, к непомерному и неоправданному удорожанию систем защиты. Аналогичные рассуждения применимы и к ИСПДн конечного пользователя.
Более правильным, на взгляд автора, вычисление (определение) класса и уровня защищенности, модели угроз и нарушителя для таких ИСПДн необходимо проводить независимо, опираясь на исходные данные, присущие конкретному ИСПДн, а не ГИС.
