Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь FAQ Написать работу КАТЕГОРИИ:  Археология Биология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия ЭкологияТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву 
Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Безопасности персональных данных при их обработке в информационной системе персональных данныхСодержание книги
Поиск на нашем сайте
УТВЕРЖДАЮ Заведующий кафедры ИТ: ____________________ Василькова И.П. «___» _____ 2012 года
ЧАСТНАЯ МОДЕЛЬ УГРОЗ Безопасности персональных данных при их обработке в информационной системе персональных данных
"Колледж Предпринимательства №11"
2012
Раздел I. ОПРЕДЕЛЕНИЯ ПДн ПДн -персональные данные, - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Допуск Допуск — право (возможность) субъекта доступа на получение информации и её использование. Права допуска (допуск) предоставляются Обществом по определенным правилам с соблюдением определенных процедур. Предоставленные права допуска представляют собой текстовые документы, выполненные по установленным в организации формам и правилам. ИСПДн ИСПДн — информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Комплекс ИСПДн Комплекс ИСПДн — комплекс информационных систем персональных данных - совокупность ИСПДн Общества. Матрица доступа Матрица доступа — таблица (совокупность таблиц), отображающая правила разграничения доступа. НСД НСД — несанкционированный доступ (несанкционированные действия), доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. Обработка ПДн Обработка ПДн — обработка персональных данных, действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, копирование, обезличивание, блокирование, уничтожение. Обработка ПДн с использованием средств автоматизации — это обработка ПДн в пределах ИСПДн с использованием информационных технологий и технических средств ИСПДн. Обработка ПДн без использования средств автоматизации — это обработка ПДн, содержащихся в ИСПДн, либо извлеченных из неё, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии работником. При этом обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из неё
ТС ИСПДн ТС ИСПДн - технические средства, позволяющие осуществлять обработку персональных данных в ИСПДн. ТС ИСПДн — это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации). СЗПДн СЗПДн — система защиты персональных данных, это комплекс технических и(или) программных средств, необходимых и достаточных для обеспечения безопасности защищаемых ПДн, хранящихся и обрабатываемых в Обществе автоматизированным способом. Персональные данные, выведенные из ИСПДн на бумажные и/или физические носители информации средствами СЗПДн не защищаются. ПРД ПРД — правила разграничения доступа, совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. В ИСПДн, использующих средства автоматизации, ПРД реализуются техническими средствами информационной системы персональных данных. ТС ИСПДн обеспечивают автоматическую и(или) автоматизированную реализацию правил доступа субъектов доступа к объектам доступа, а также автоматический контроль за соблюдением этих правил с автоматической регистрацией в электронной форме событий, происходящих при этом событий. ПРД устанавливаются при проектировании СЗПДн и представляют собой таблицу(ы), именуемую как «Матрица доступа». Объект внедрения Под объектом внедрения понимается совокупность:
– ТС ИСПДн; – помещений, в ТС ИСПДн расположены; – технологическое оборудование этих помещений (системы электропитания, кондиционирования, пожаротушения и пр.); – сетевая инфраструктура, обеспечивающая функционирование технических средств. Объект доступа Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Для СЗПДн такими объектами являются защищаемые ПДн, технические и программные средства ИСПДн и СЗПДн. Субъект доступа Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа. Частная модель угроз Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее также – Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Раздел II. ТЕРМИНЫ И СОКРАЩЕНИЯ
Раздел III. ОБЩИЕ ПОЛОЖЕНИЯ 1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных данных Колледжа Предпринимательства №11. 2. Частная модель угроз безопасности (далее по тексту – Модель угроз) персональных данных при их обработке в информационных системах персональных данных утверждается Заведующим кафедрой ИТ Колледжа Предпринимательства №11 и является внутренним локальным нормативным актом колледжа. 3. Модель угроз определяет перечень угроз для ИСПДн Общества и их актуальность. Модель угроз разрабатывается на основании Отчета о результатах проведения внутренней проверки. 4. Данная Модель угроз учитывается при классификации ИСПДн и используется при разработке Плана мероприятий по обеспечению защиты персональных данных в Колледже Предпринимательства №11. 5. Модель угроз может быть пересмотрена: · - по решению Комиссии по персональным данным Общества на основе периодически проводимых анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений данной информационной системы;
- в случае изменения в составе и территориальном расположении ТС ИСПДн; · - по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе. 6. Настоящая Модель угроз разработана в соответствии с требованием п.12. «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781. 7. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах ПДн, является одним из необходимых мероприятий по обеспечению безопасности ПДн в информационных системах и проектирования системы защиты ПДн. 8. На основе Модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и в зависимости от класса ИСПДн осуществляется выбор и реализация методов и способов защиты информации в информационной системе, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, в составе создаваемой системы защиты персональных данных. 9. Частная модель угроз безопасности персональных данных, обрабатываемых в ИСПДн «Работники Клиенты» разработана с учетом требований следующих законодательных актов и нормативно-методических документов: - Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных». - Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781. - Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года № 55/86/20 (далее – «Порядок проведения классификации ИСПДн»). - Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная приказом ФСТЭК России 15.02.2008 года. - Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом ФСТЭК России 14.02.2008 года. - Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России №58 от 5 февраля 2010 года. Статья 1. ИСХОДНЫЕ ДАННЫЕ ОБ ИСПДн «РАБОТНИКИ и КЛИЕНТЫ»
ИСПДн предназначена для решения задач управления персоналом, реализации уставных целей Общества, исполнения Обществом налоговых, фискальных, кредитных и иных финансовых обязательств, как перед государством, так и перед Работниками, Клиентами и контрагентами Общества. ИСПДн представляет собой комплексную автоматизированную систему ведения на основе внутреннего портала колледжа предпринимательства №11. Основными целями функционирования ИСПДн и обработки ПДн в частности являются: Передача информации; Обработка информации; Хранение информации; обработка и редактирование документов. Все объекты Общества, на которых размещены компоненты ИСПДн, находятся на территории города Москвы. ИСПДн имеет подключение к сетям общего пользования. Все компоненты ИСПДн находятся на одном объекте, внутри контролируемой зоны. Обработка персональных данных в ИСПДн ведется в многопользовательском режиме, с ограничением прав доступа. Все технические средства ИСПДн находятся в пределах Российской Федерации. К персональным данным предъявляются требования конфиденциальности, доступности и целостности. При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей ИСПДн. Все пользователи разделены на группы по праву и уровню доступа: администратор ИСПДн, администратор безопасности, операторы АРМ с правом записи, операторы АРМ с правом чтения. ИСПДн |
Уровень защищенности | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Высокий | Средний | Низкий | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 1. По территориальному размещению: Локальная ИСПДн, развернутая в пределах одного здания | + | – | – | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 2. По наличию соединения с сетями общего пользования: ИСПДн, физически отделенная от сети общего пользования | – | + | – | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск, запись, удаление, сортировка | + | – | – | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 4.копирование, модификация, передача | – | – | + | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 5. По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ определенные перечнем сотрудники Общества | – | - | - | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 6. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая часть ПДн | - | + | - | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
4.2. ВЫВОД: ИСПДн имеет средний уровень исходной защищенности, так как более 70% характеристик соответствуют уровню не ниже «средний». Показатель исходной защищенности Y1=5*.
* - Исходная степень защищенности определяется следующим образом:
ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу) (Y1= 0).
ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности (Y1= 5).
|
|
ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2 (Y1= 10).
СОГЛАСОВАНО
Заведующий кафедрой ИТ:
Василькова И.П. __________________
Преподаватель специальных дисциплин Колледжа Предпринимательства №11:
Труфанов В.Н. __________________
«____» __________ 2012 года
УТВЕРЖДАЮ
Заведующий кафедры ИТ:
____________________ Василькова И.П.
«___» _____ 2012 года
ЧАСТНАЯ МОДЕЛЬ УГРОЗ
безопасности персональных данных при их обработке в информационной системе персональных данных
"Колледж Предпринимательства №11"
2012
Раздел I. ОПРЕДЕЛЕНИЯ
ПДн
ПДн -персональные данные, - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Допуск
Допуск — право (возможность) субъекта доступа на получение информации и её использование. Права допуска (допуск) предоставляются Обществом по определенным правилам с соблюдением определенных процедур. Предоставленные права допуска представляют собой текстовые документы, выполненные по установленным в организации формам и правилам.
ИСПДн
ИСПДн — информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Комплекс ИСПДн
Комплекс ИСПДн — комплекс информационных систем персональных данных - совокупность ИСПДн Общества.
Матрица доступа
Матрица доступа — таблица (совокупность таблиц), отображающая правила разграничения доступа.
НСД
НСД — несанкционированный доступ (несанкционированные действия), доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Обработка ПДн
Обработка ПДн — обработка персональных данных, действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, копирование, обезличивание, блокирование, уничтожение.
Обработка ПДн с использованием средств автоматизации — это обработка ПДн в пределах ИСПДн с использованием информационных технологий и технических средств ИСПДн.
Обработка ПДн без использования средств автоматизации — это обработка ПДн, содержащихся в ИСПДн, либо извлеченных из неё, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии работником. При этом обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из неё
ТС ИСПДн
ТС ИСПДн - технические средства, позволяющие осуществлять обработку персональных данных в ИСПДн.
ТС ИСПДн — это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
СЗПДн
СЗПДн — система защиты персональных данных, это комплекс технических и(или) программных средств, необходимых и достаточных для обеспечения безопасности защищаемых ПДн, хранящихся и обрабатываемых в Обществе автоматизированным способом.
Персональные данные, выведенные из ИСПДн на бумажные и/или физические носители информации средствами СЗПДн не защищаются.
ПРД
ПРД — правила разграничения доступа, совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
В ИСПДн, использующих средства автоматизации, ПРД реализуются техническими средствами информационной системы персональных данных. ТС ИСПДн обеспечивают автоматическую и(или) автоматизированную реализацию правил доступа субъектов доступа к объектам доступа, а также автоматический контроль за соблюдением этих правил с автоматической регистрацией в электронной форме событий, происходящих при этом событий.
ПРД устанавливаются при проектировании СЗПДн и представляют собой таблицу(ы), именуемую как «Матрица доступа».
Объект внедрения
Под объектом внедрения понимается совокупность:
– ТС ИСПДн;
– помещений, в ТС ИСПДн расположены;
– технологическое оборудование этих помещений (системы электропитания, кондиционирования, пожаротушения и пр.);
– сетевая инфраструктура, обеспечивающая функционирование технических средств.
Объект доступа
Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Для СЗПДн такими объектами являются защищаемые ПДн, технические и программные средства ИСПДн и СЗПДн.
Субъект доступа
Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Частная модель угроз
Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее также – Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Раздел II. ТЕРМИНЫ И СОКРАЩЕНИЯ
| Антивирусная защита | АЗ |
| Автоматизированное рабочее место | АРМ |
| Автоматизированная система | АС |
| База данных | БД |
| Вредоносная программа | ВП |
| Вспомогательные системы и средства | ВСС |
| Демилитаризованная зона | ДМЗ |
| Информационная безопасность | ИБ |
| Информационная система | ИС |
| Информационная система персональных данных | ИСПДн |
| Контролируемая зона | КЗ |
| Корпоративная информационная система | КИС |
| Локальная вычислительная сеть | ЛВС |
| Межсетевой экран | МЭ |
| Операционная система | ОС |
| Персональные данные | ПДн |
| Программно-математическое воздействие | ПМВ |
| Программное обеспечение | ПО |
| Побочные электромагнитные излучения и наводки | ПЭМИН |
| Средства вычислительной техники | СВТ |
| Система контроля и управления доступом | СКУД |
| Сеть передачи данных | СПД |
| Система управления базами данных | СУБД |
| Федеральный закон | ФЗ |
| Федеральная служба безопасности | ФСБ России |
| Федеральная служба по техническому и экспортному контролю | ФСТЭК России |
| Центр обработки данных | ЦОД |
| Электронно-цифровая подпись | ЭЦП |
| Service Level Agreement (Соглашение об уровне предоставления услуг | SLA |
Раздел III. ОБЩИЕ ПОЛОЖЕНИЯ
1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных данных Колледжа Предпринимательства №11.
2. Частная модель угроз безопасности (далее по тексту – Модель угроз) персональных данных при их обработке в информационных системах персональных данных утверждается Заведующим кафедрой ИТ Колледжа Предпринимательства №11 и является внутренним локальным нормативным актом колледжа.
3. Модель угроз определяет перечень угроз для ИСПДн Общества и их актуальность. Модель угроз разрабатывается на основании Отчета о результатах проведения внутренней проверки.
4. Данная Модель угроз учитывается при классификации ИСПДн и используется при разработке Плана мероприятий по обеспечению защиты персональных данных в Колледже Предпринимательства №11.
5. Модель угроз может быть пересмотрена:
· - по решению Комиссии по персональным данным Общества на основе периодически проводимых анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений данной информационной системы;
- в случае изменения в составе и территориальном расположении ТС ИСПДн;
· - по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.
6. Настоящая Модель угроз разработана в соответствии с требованием п.12. «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.
7. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах ПДн, является одним из необходимых мероприятий по обеспечению безопасности ПДн в информационных системах и проектирования системы защиты ПДн.
8. На основе Модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и в зависимости от класса ИСПДн осуществляется выбор и реализация методов и способов защиты информации в информационной системе, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, в составе создаваемой системы защиты персональных данных.
9. Частная модель угроз безопасности персональных данных, обрабатываемых в ИСПДн «Работники Клиенты» разработана с учетом требований следующих законодательных актов и нормативно-методических документов:
- Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных».
- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.
- Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года № 55/86/20 (далее – «Порядок проведения классификации ИСПДн»).
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная приказом ФСТЭК России 15.02.2008 года.
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом ФСТЭК России 14.02.2008 года.
- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России №58 от 5 февраля 2010 года.
|
| Поделиться: |
