
- •10.03.01 Информационная безопасность
- •Термины и определения
- •Сокращения
- •Общие положения
- •Описание информационной системы персональных данных
- •Описание существующей системы защиты информационной системы персональных данных
- •Перечень угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных
- •Модель нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных
- •Определение актуальных угроз безопасности персональных данных при их обработке в информационной системе
- •Определение уровня исходной защищенности информационной системы персональных данных
- •Определение вероятности реализации угроз безопасности персональных данных
- •Определение возможности реализации угроз безопасности персональных данных
- •Определение опасности угроз безопасности персональных данных
- •Определение актуальных угроз безопасности персональных данных
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия»
Определение возможности реализации угроз безопасности персональных данных
Для определения возможности реализации угроз безопасности персональных данных в соответствии с Методикой использованы следующие показатели:
уровень исходной защищенности ИСПДн (пункт 8.1. настоящей Модели);
вероятность реализации угроз безопасности персональных данных (пункт 8.2 настоящей Модели). Результаты определения возможности реализации угроз приведены в таблице 3.
Таблица 3. Возможность реализации угроз безопасности персональных данных
-
Угроза
Веро ятнос ть Y2
Промежуто чный расчет Y=(Y1+Y2)/
20, где Y1=5
Возможност ь реализации угрозы
Угрозы утечки информации по техническим каналам
Угрозы утечки видовой информации:
Просмотр информации на дисплее АРМ в составе ИСПДн работниками, не
допущенными к ПДн
0
0,25
Низкая
Просмотр информации на дисплее АРМ в составе ИСПДн посторонними
лицами, находящимися в помещении, в котором ведется обработка ПДн
0
0,25
Низкая
Просмотр информации на дисплее пользователей ИСПДн посторонними
лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны
0
0,25
Низкая
Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором
ведется обработка ПДн
0
0,25
Низкая
Угрозы утечки информации по каналам ПЭМИН:
Утечка информации по сетям электропитания ИСПДн
0
0,25
Низкая
Перехват техническими средствами наводок информативного сигнала,
обрабатываемого техническими средствами ИСПДн, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны
0
0,25
Низкая
Утечка информации из ИСПДн за счет побочного излучения технических
средств
0
0,25
Низкая
Преднамеренное электромагнитное воздействие на элементы ИСПДн
0
0,25
Низкая
Угрозы НСД
Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы
непосредственного доступа):
Перехват управления загрузкой операционной системы (ОС) рабочих станций в составе ИСПДн (угрозы, направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывод, перехват
управления загрузкой)
5
0,5
Средняя
Вызов штатных программ ОС рабочих станций в составе ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн (программ
просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)
5
0,5
Средняя
Внедрение в ИСПДн вредоносных программ
5
0,5
Средняя
Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа):
Анализ сетевого трафика с перехватом передаваемой по сети информации
5
0,5
Средняя
Сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.
5
0,5
Средняя
Подмена доверенного объекта сети и передача по каналам связи сообщений от
5
0,5
Средняя
Выявление паролей
2
0,35
Средняя
Сетевые атаки типа «Отказ в бслуживании»
2
0,35
Средняя
Удаленный запуск приложений в ИСПДн
2
0,35
Средняя
Внедрение по сети вредоносных программ
0
0,25
Низкая
Угрозы физического доступа к элементам ИСПДн:
Хищение элементов АРМ в составе ИСПДн, содержащих ПДн
0
0,25
Низкая
Хищение отчуждаемых носителей информации, содержащих ПДн
0
0,25
Низкая
Вывод из строя АРМ в составе ИСПДн
0
0,25
Низкая
Внедрение в ИСПДн аппаратных закладок
0
0,25
Низкая
Угрозы непреднамеренных нарушений безопасности ПДн
Ошибочные действия пользователей, приводящие к нарушению безопасности
персональных данных
5
0,5
Средняя
Выход из строя аппаратно-программных средств ИСПДн в результате
неисправностей, сбоев, аварий
2
0,35
Средняя
Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное
стихийными бедствиями
2
0,35
Средняя