- •Перечень используемых сокращений
- •Постановка задачи
- •Перечень использованных нормативных и нормативно-методических документов
- •Описание организации, владельца информационной системы
- •Описание информационной системы персональных данных
- •1. Наименование организации
- •2. Наименование испДн
- •3. Физическое расположение испДн
- •4. Логическая структура испДн
- •Акт предварительной классификации информационной системы персональных данных
- •Акт предварительной классификации информационной системы персональных данных «Хранилище»
- •Перечень персональных данных, обрабатываемый организацией
- •Положение об обработке персональных данных субъектов
- •1. Общие требования при обработке персональных данных
- •2. Получение персональных данных
- •3. Хранение персональных данных
- •4. Передача персональных данных
- •5. Уничтожение персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент по работе с носителями персональных данных
- •Регламент реагирования на запросы субъектов
- •Регламент реагирования на запросы субъектов
- •План внутренних проверок обработки пДн
- •План внутренних проверок обработки пДн
- •Регламент по порядку обезличивания пДн в испДн
- •Регламент по порядку обезличивания пДн в испДн
- •Положение о защите персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обработке персональных данных
- •Приказ о назначении и закреплении функциональных обязанностей ответственного за организацию обработки персональных данных
- •Политика обработки персональных данных
- •Политика обработки персональных данных
- •Описание доверенных пользователей информационной системы персональных данных с обоснованием
- •Оценка возможности сговора нарушителей
- •Оценка исходной защищенности информационной системы персональных данных
- •Модель нарушителя для информационной системы персональных данных
- •Модель нарушителя в соответствии с требованиями нормативных документов фсб России
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных
- •Модель атак для испДн
- •Перечень актуальных угроз, атак и меры противодействия
- •Классы используемых средств защиты информации
- •Частное техническое задание на выполнение работ по созданию системы защиты персональных данных
- •Пояснительная записка к техническому проекту на создание системы защиты персональных данных
- •4.5 Система контроля защищенности «Сканер вс»
- •4.6 Система Secret Disk
Перечень актуальных угроз, атак и меры противодействия
|
Угроза |
Атака |
Мера противодействия |
|
Угроза утечки акустической информации |
|
Запрет произнесения вслух информации, представляющей собой персональные данные. |
|
Угроза утечки видовой информации, в пределах контролируемой зоны |
|
Расположение мониторов и других средств отображения видовой информации исключает просмотр персональных данных лицами, не имеющими к ним доступа. Запрет сотрудникам имеющим доступ к персональным данным предоставлять к ним доступ лицам, не имеющим такого доступа. |
|
Угроза утечки видовой информации, за пределами контролируемой зоны |
|
Расположение мониторов и других средств отображения видовой информации исключает просмотр персональных данных через окна. |
|
Угроза модификации базовой системы ввода/вывода (BIOS), перехвата управления загрузкой, перехвата или подбора паролей или идентификаторов, а также использования технологических паролей BIOS |
|
Использование сертифицированных средств антивирусной защиты и средств обеспечения замкнутой программной среды: Антивирусная защита - Антивирусное средство «Security Studio Endpoint Protection Antivirus» Средство обеспечения замкнутой программной среды: СЗИ SecretNet7 |
|
Угроза доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения |
Атака на уровне приложений |
Использование сертифицированных средств обеспечения замкнутой программной среды: Средство обеспечения замкнутой программной среды: СЗИ SecretNet7 |
|
Угроза НСД с применением специально созданных для этого программ |
|
Использование сертифицированных средств антивирусной защиты и межсетевого экранирования: Антивирусная защита - Антивирусное средство «Security Studio Endpoint Protection Antivirus» Межсетевое экранирование - АПКШ «Континент» версия 3.7. Подтверждает соответствие руководящих документов по 3-му уровню контроля на отсутствие НДВ и 3-му классу защищенности для межсетевых экранов. Может использоваться для создания автоматизированных систем до класса защищенности 1В включительно и при создании информационных систем персональных данных 1-го класса включительно
|
|
Угроза утечки информации путем преднамеренного копирования ПДн на неучтенные (в том числе отчуждаемые) носители, а также печать неучтенных копий документов с ПДн на принтерах |
|
Реализация механизмов регистрации событий, связанных с действиями пользователя. Использование сертифицированного СЗИ: Средство защиты информации Secret Net 7. Сертификат ФСТЭК 2707 Соответствует руководящим документам по 2-му уровню контроля на отсутствие НДВ и 3-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Б включительно и в ИСПДн до 1 класса включительно. |
|
Угроза анализа сетевого трафика |
Сниффинг пакетов |
Применение шифрования |
|
Угроза выявления паролей |
Парольная атака |
Применение шифрования |
|
Угроза получения НСД путем подмены доверенного объекта |
IP-спуфинг |
Использование аппаратно-программного средство защиты компьютера от несанкционированного доступа ПАК «Соболь» 3.0. |
|
Угроза удаленного запуска приложений |
|
Использование сертифицированных средств обеспечения замкнутой программной среды: Средство обеспечения замкнутой программной среды: СЗИ SecretNet7 |
|
Угроза сканирования сети |
Сетевая разведка |
Использование сертифицированных средств обнаружения/предотвращения вторжений: АПКШ «Континент» версия 3.7. Сертификат ФСТЭК 3008 подтверждает соответствие требованиям руководящих документов по 3-му классу защиты для систем обнаружения вторжений. |
|
Угроза скрытого отказа в обслуживании |
Отказ в обслуживании |
Использование системы защиты от DDoS-атак, сертифицированных средств обнаружения/ предотвращения вторжений: АПКШ «Континент» версия 3.7. |
|
Угроза явного отказа в обслуживании |
Отказ в обслуживании |
Использование системы защиты от DDoS-атак, Использование сертифицированных средств обнаружения/предотвращения вторжений: АПКШ «Континент» версия 3.7. |
|
Угроза нарушения свойств информационной безопасности с использованием программных вирусов |
|
Использование сертифицированных средств антивирусной защиты: SecurityStudioEndpointProtectionAntivirus» |
|
Угроза нарушения свойств информационной безопасности с использованием вредоносных программ, распространяющихся по сети |
|
Использование сертифицированных средств антивирусной защиты: SecurityStudioEndpointProtectionAntivirus; Использование сертифицированных средств обнаружения вторжений: АПКШ Континент 7. |
|
Угроза потери контроля над ноутбуком, при его нахождении за пределами комплекса помещений |
|
Применение организационных мер, заключающихся в разработке должностных инструкций по удаленной работе с ноутбуками, которые определяют требования по работе и ответственность за утерю; Обеспечение шифрования носителей ПДн; Использование системы защиты конфиденциальной информации от несанкционированного доступа, копирования, повреждения, кражи или неправомерного изъятия: SecretDisk 4: Сертифицированная версия Secret Disk 4 может использоваться в ИСПДн до 2 класса включительно и для создания автоматизированных систем до класса защищенности 1Г включительно. Комплектуется сертифицированным ключом eToken PRO (Java). |