Информационной системы персональных данных 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Информационной системы персональных данных



Модель угроз

Информационной системы персональных данных

ЧОП «Рога и копыта»

 

 

Обозначения и сокращения

 

АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации

СЗПДн – система (подсистема) защиты персональных данных

СОВ – система обнаружения вторжений

ТКУ И – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных

ФСТЭК России – Федеральная служба по техническому и экспортному контролю

 

 

ОПРЕДЕЛЕНИЯ

 

В настоящем документе используются следующие термины и их определения (указать все определения, которые используются):

Информационная безопасность организации — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации — это последовательность действий для достижения определённой цели.

служебная тайна - это информация, доступ к которой ограничен органами государственной власти и федеральными законами (сведения об усыновлении, вкладах граждан в различного рода банки, характере заболеваний пациентов и т. д.). Служебная тайна не подлежит разглашению, кроме случаев, когда те или иные сведения запрашиваются правоохранительными органами.

 

Уничтоже́ние персона́льных да́нных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

 

ОБЩИЕ ПОЛОЖЕНИЯ

 

Работы по созданию Частной модели угроз проводятся в соответствии со следующими основными документами:

  • Конституция РФ;
  • Законы федерального уровня (включая федеральные конституционные законы, кодексы(ФЗ № 152 «О персональных данных»));
  • Указы Президента РФ;
  • Постановления правительства РФ;
  • Нормативные правовые акты федеральных министерств и ведомств;
  • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
  • Доктрина информационной безопасности РФ;
  • Руководящие документы ФСТЭК (Гостехкомиссии России);
  • Приказы ФСБ;

 

ОПИСАНИЕ СИСТЕМ, В КОТОРЫХ ОБРАБАТЫВАЕТСЯ КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ

2.1. Определение условий создания и использования конфиденциальной информации

 

2.1.1. Цель обработки конфиденциальной информации:

В правовом отношении ЧОП, использует персональные данные для охраны клиента и его имущества, а так же для хранения данных имеющих материальную ценность.

 

2.1.2. Состав конфиденциальной информации:

персональные данные, служебная и коммерческие тайны, сведения о изобретении, полезной модели и промышленного образца.

 

 

2.1.3. Действия осуществляемые с конфиденциальной информацией в ходе ее обработки

 

- Сбор, систематизация, накопление, хранение,

- Передача информации внутри фирмы,

- Передача информации государственным органам (имеющим право доступа);

 

 

2.1.4. Условия прекращения обработки конфиденциальной информации

Смерть клиента, окончание срока действия договора, разрыв договора одной из сторон.

 

2.1.5. Правила доступа к защищаемой информации Охраняется ФЗ №152 – «О персональных данных», «О коммерческой тайне» ФЗ №98.

 

СТРУКТУРА ОРГАНИЗАЦИИ

Штат ЧОП «Рога и Копыта» (чел.): директор (1), бухгалтер(1), секретарь(1), начальник караула (3), диспетчер(3), служба охраны (17), уборщица(1).

Расчет з\п сотрудников ЧОП «Рога и Копыта»:

Таблица1.

№ п/п Должность З\п без НДС З\п с НДС
1. Директор   31502,7
2. Бухгалтер    
  Секретарь    
4. Начальник караула    
5. Диспетчер    
6. Охранник    
7. Уборщица    

 

Структура организации:

Секретарь
Охранник
Диспетчер
Начальник караула
Уборщица
Бухгалтер
Директор

 

 



ХАРАКТЕРИСТИКА УГРОЗ

 

Угроз выявления паролей

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

 

Классификация нарушителей

 

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

 

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

 

Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.

Система разграничения доступа ИСПДн ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности (правилами). К внутренним нарушителям могут относиться (таблица):

- администраторы ИСПДн (категория I);

- администраторы конкретных подсистем или баз данных ИСПДн (категория II);

- пользователи ИСПДн (категория III);

- пользователи, являющиеся внешними по отношению к конкретной АС (категория IV);

- лица, обладающие возможностью доступа к системе передачи данных (категория V);

- сотрудники ЛПУ, имеющие санкционированный доступ в служебных целях в помещения, в которых размещаются элементам ИСПДн, но не имеющие права доступа к ним (категория VI);

- обслуживающий персонал (охрана, работники инженерно–технических служб и т.д.) (категория VII);

- уполномоченный персонал разработчиков ИСПДн, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ИСПДн (категория VIII).

На лиц категорий I и II возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн. Администраторы потенциально могут реализовывать угрозы ИБ, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями.

Эти лица хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам категорий I и II ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

Предполагается, что в число лиц категорий I и II будут включаться только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категорий III-VIII относятся к вероятным нарушителям.

Возможности внутреннего нарушителя существенным образом зависят
от действующих в пределах контролируемой зоны режимных
и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

 

Средствах реализации угроз

Предполагается, что нарушитель имеет:

- аппаратные компоненты СЗПДн и СФ СЗПДн;

- доступные в свободной продаже технические средства и программное обеспечение;

- специально разработанные технические средства и программное обеспечение.

Внутренний нарушитель может использовать штатные средства.

Состав имеющихся у нарушителя средств, которые он может использовать для реализации угроз ИБ, а также возможности по их применению зависят от многих факторов, включая реализованные на объектах ЛПУ конкретные организационные меры, финансовые возможности и компетенцию нарушителей. Поэтому объективно оценить состав имеющихся у нарушителя средств реализации угроз в общем случае практически невозможно.

Поэтому, для создания устойчивой СЗПДн предполагается, что вероятный нарушитель имеет все необходимые для реализации угроз средства, возможности которых не превосходят возможности аналогичных средств реализации угроз на информацию, содержащую сведения, составляющие государственную тайну, и технические и программные средства, обрабатывающие эту информацию.

Вместе с тем предполагается, что нарушитель не имеет:

- средств перехвата в технических каналах утечки;

- средств воздействия через сигнальные цепи (информационные и управляющие интерфейсы СВТ);

- средств воздействия на источники и через цепи питания;

- средств воздействия через цепи заземления;

- средств активного воздействия на технические средства (средств облучения).

Предполагается, что наиболее совершенными средствами реализации угроз обладают лица категории III и лица категории VIII.

 

Модель угроз

информационной системы персональных данных

ЧОП «Рога и копыта»

 

 

Обозначения и сокращения

 

АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации

СЗПДн – система (подсистема) защиты персональных данных

СОВ – система обнаружения вторжений

ТКУ И – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных

ФСТЭК России – Федеральная служба по техническому и экспортному контролю

 

 

ОПРЕДЕЛЕНИЯ

 

В настоящем документе используются следующие термины и их определения (указать все определения, которые используются):

Информационная безопасность организации — целенаправленная деятельность ее органов и должностных лиц с использованием разрешенных сил и средств по достижению состояния защищённости информационной среды организации, обеспечивающее её нормальное функционирование и динамичное развитие.

Кортеж защиты информации — это последовательность действий для достижения определённой цели.

служебная тайна - это информация, доступ к которой ограничен органами государственной власти и федеральными законами (сведения об усыновлении, вкладах граждан в различного рода банки, характере заболеваний пациентов и т. д.). Служебная тайна не подлежит разглашению, кроме случаев, когда те или иные сведения запрашиваются правоохранительными органами.

 

Уничтоже́ние персона́льных да́нных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

 

ОБЩИЕ ПОЛОЖЕНИЯ

 

Работы по созданию Частной модели угроз проводятся в соответствии со следующими основными документами:

  • Конституция РФ;
  • Законы федерального уровня (включая федеральные конституционные законы, кодексы(ФЗ № 152 «О персональных данных»));
  • Указы Президента РФ;
  • Постановления правительства РФ;
  • Нормативные правовые акты федеральных министерств и ведомств;
  • Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
  • Доктрина информационной безопасности РФ;
  • Руководящие документы ФСТЭК (Гостехкомиссии России);
  • Приказы ФСБ;

 



Поделиться:


Последнее изменение этой страницы: 2016-06-26; просмотров: 544; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.234.202.202 (0.051 с.)