Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Реферат (Модели нарушителя безопасности персональных данных).docx
Скачиваний:
39
Добавлен:
09.04.2023
Размер:
194.1 Кб
Скачать
  1. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия»

Наименование угрозы

Вероят ность реализ ации угрозы (Y2)

Промеж уточ- ный расчет Y=(Y1+ Y2)/20

Возможно сть реализац ии угрозы (Y)

Опасно сть угрозы

Актуальност ь угрозы

Нару шител ь

Организационно-технические меры по защите ИСПДн от угрозы

Просмотр информации на дисплее компьютера в составе системы работниками, не допущенными к персональным данным

0

0,25

Низкая

Средняя

Неактуальная

Н2

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых установлены устройства отображения информации АРМ в составе ИСПДн; 2. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте; 3. Использование плотных штор или жалюзи на окнах в помещениях, в которых установлены устройства отображения

информации АРМ в составе ИСПДн.

Просмотр информации на дисплее компьютера в составе системы посторонними лицами, находящимися в помещении, в котором ведется обработка персональных данных

0

0,25

Низкая

Средняя

Неактуальная

Н2

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых установлены устройства отображения информации АРМ в составе ИСПДн; 2. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте; 3. Использование плотных штор или жалюзи на окнах в

помещениях, в которых установлены устройства отображения информации АРМ в составе ИСПДн.

Просмотр информации на дисплее пользователей системы посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны

0

0,25

Низкая

Средняя

Неактуальная

Н2

1. Расположение дисплеев пользователей ИСПДн в местах, исключающих возможность прямо видимости между средством наблюдения и устройством отображения информации;2. Размещение элементов ИСПДн на удалении от границ контролируемой зоны;3. Использование плотных штор или жалюзи на окнах в помещениях, в которых установлены

устройства отображения информации

Просмотр информации на дисплеях пользователей системы с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка персональных данных

0

0,25

Низкая

Средняя

Неактуальная

Н2

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых ведется обработка ПДн; 2. Проведение работ по выявлению возможных мест установки закладных устройств (с учетом особенностей их работы); 3. Организация работы службы безопасности по контролю излучений в эфире, сетях связи, управления и анализу частотного диапазона и способов работы закладных устройств; 4. Проведение мероприятий по

обнаружению закладных устройств и противодействию съему информации с их использованием.

Перехват управления загрузкой операционной системы (ОС)

компьютеров в составе системы (угрозы, направленные на перехват

5

0,5

Средняя

Средняя

Актуальная

Н2;Н3;

Н5;Н6;

Н7;Н8; Н9

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к рабочим станциям в составе

ИСПДн;2. Запрет загрузки с отчуждаемых носителей информации;3. Запрет самостоятельного изменения

паролей или идентификаторов, модификацию базовой системы

ввода/вывод, перехват управления загрузкой)

аппаратно-программной конфигурации;4. Использование систем обнаружения вторжений;5. Использование средств анализа защищенности.

Вызов штатных программ ОС компьютеров в составе системы или запуск специально разработанных программ, реализующих несанкционированный доступ к

системе

5

0,5

Средняя

Средняя

Актуальная

Н2;Н3;

Н5;Н6;

Н7;Н8; Н9

1. Использование систем обнаружения вторжений;2. Использование средств анализа защищенности;3. Использование систем доверенной загрузки;4. Назначение пользователям ИСПДн прав, минимально необходимых для выполнения служебных обязанностей.

Внедрение в систему вредоносных программ

5

0,5

Средняя

Средняя

Актуальная

H1;Н2;

Н3;H4;

Н5;Н6;

Н7;Н8; Н9

1. Использование средств антивирусной защиты; 2. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 3. Использование систем доверенной загрузки.

Хищение элементов компьютера в составе системы, содержащих персональные данные

0

0,25

Низкая

Средняя

Неактуальная

Н2;Н3;

Н5;Н6; Н7

1. Реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; 2. Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; 3. Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам

обработки (передачи) и защиты информации.

Хищение отчуждаемых носителей информации, содержащих персональные данные

0

0,25

Низкая

Средняя

Неактуальная

Н2;Н3;

Н5;Н6; Н7

1. Учёт и маркировка отчуждаемых носителей информации содержащих ПДн; 2. Доведение до персонала ИСПДн информации об обязанности обеспечения сохранности отчуждаемых носителей информации, содержащих ПДн; 3. Хранение отчуждаемых носителей в специализированных местах (запирающиеся шкафы, сейфы и т.п.); 4. Повышение осведомленности пользователей ИСПДн в вопросах

информационной безопасности (ИБ).

Вывод из строя компьютера в составе системы

0

0,25

Низкая

Низкая

Неактуальная

Н2;Н3;

Н5;Н6;

Н7;Н8; Н9

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к АРМ в составе ИСПДн;2. Расположение АРМ в составе ИСПДн в пределах контролируемой зоны;3. Резервирование технических средств, дублирование массивов и носителей информации;4. Наличие

средств восстановления и контроля работоспособности.

Внедрение в систему аппаратных закладок

0

0,25

Низкая

Низкая

Неактуальная

Н2;Н3;

Н5;Н6; Н7;Н9

1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к рабочим станциям в составе ИСПДн; 2. Проведение работ по обслуживанию ИСПДн,

выполняемых работниками сторонних организаций, в присутствии работника организации; 3. Привлечение

исполнителей работ по обслуживанию ИСПДн, прошедших сертификацию; 4. Заключение соглашений о конфиденциальности со сторонними организациями, выполняющими работы по обслуживанию ИСПДн; 5. Включение в договор на оказание услуг по поставке,

сопровождению и ремонту технических средств ИСПДн требований по информационной безопасности.

Анализ сетевого трафика с перехватом передаваемой из системы и принимаемой в системе из внешних сетей информации

5

0,5

Средняя

Средняя

Актуальная

Н1;Н2; Н3; H4;Н5;

Н6;Н7; Н8;Н9

1. Шифрование сетевого трафика и использование безопасных протоколов удаленной аутентификации пользователей; 2. Использование средств криптографической защиты информации, прошедших в установленном порядке процедуру

оценки соответствия; 3. Сегментация вычислительной сети ИСПДн.

Сканирования, направленные на выявление типов операционных систем, сетевых адресов компьютеров системы, открытых портов и служб, открытых

соединений и др.

5

0,5

Средняя

Средняя

Актуальная

Н1

1. Использование систем обнаружения вторжений; 2. Использование средств анализа защищенности; 3. Применение средств межсетевого экранирования; 4. Фильтрация сетевых пакетов по правилам, заданным оператором.

Выявление паролей

2

0,35

Средняя

Средняя

Актуальная

Н1;Н2;

Н3;Н5;

Н6;Н7; Н8;Н9

1. Запрет установки ПО, не связанного с исполнением служебных обязанностей; 2. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности ПДн при их обработке в ИСПДн, прав доступа пользователей к АРМ и установленного на них ПО; 3. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей; 4. Использование систем обнаружения вторжений; 5.

Использование средств анализа защищенности.

Сетевые атаки типа «Отказ в обслуживании»

2

0,35

Средняя

Низкая

Неактуальная

Н1

1. Применение стойких алгоритмов идентификации и аутентификации хостов, пользователей и т.д.; 2. Применение средств межсетевого экранирования; 3. Использование систем обнаружения вторжений; 4. Использование средств анализа защищенности; 5. Фильтрация сетевых пакетов по правилам,

заданным оператором.

Удаленный запуск приложений в системе

2

0,35

Средняя

Средняя

Актуальная

Н1;Н2;

Н3;H4;

Н5;Н6;

Н7;Н8; Н9

1. Использование средств антивирусной защиты; 2. Запрет установки ПО, не связанного с исполнением служебных обязанностей; 3. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 4. Управление доступом пользователей к операционной системе ИСПДн; 5. Регистрация и учет входа (выхода) пользователей в систему; 6. Регистрация запуска программ и процессов; 7. Использование систем обнаружения вторжений; 8. Использование средств анализа защищенности; 9. Применение средств межсетевого

экранирования.

Внедрение по сети вредоносных программ

0

0,25

Низкая

Средняя

Неактуальная

Н1;Н2;

Н3;H4;

Н5;Н6;

Н7;Н8; Н9

1. Использование средств антивирусной защиты; 2. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 3. Анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров

безопасности); 4. Использование систем обнаружения вторжений.

Ошибочные действия пользователей, приводящие к нарушению безопасности персональных данных

5

0,5

Средняя

Средняя

Актуальная

Н1;Н2;

Н3;H4;

Н5;Н6;

Н7;Н8; Н9

1. Доведение до пользователей ИСПДн информации об обязанности обеспечения безопасности ПДн; 2. Контроль действий пользователей ИСПДн и вводимых ими данных; 3. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей; 4. Периодическое проведение занятий по повышению осведомленности в области защиты информации;

5. Периодическое проведение тестирований и опросов для оценки текущего уровня осведомленности в области ЗИ.

Выход из строя аппаратно- программных средств системы в результате неисправностей, сбоев,

аварий

2

0,35

Средняя

Низкая

Неактуальная

-

1. Резервирование технических средств, дублирование массивов и носителей информации; 2. Наличие средств восстановления и контроля работоспособности.

Уничтожение данных в системе или блокирование доступа к системе, вызванное стихийными бедствиями

2

0,35

Средняя

Низкая

Неактуальная

-

1. Резервирование технических средств, дублирование массивов и носителей информации; 2. Хранение резервных копий отдельно от элементов ИСПДн, содержащих резервируемые данные; 3. Наличие средств восстановления и

контроля работоспособности.

Список литературы: 1. Бачило, ИЛ. Информационное право РФ : Учебник для вузов / И.Л. Бачило. — М.: Издательство Юрайт. 2016.- 522 с. 2. О персональных данных: федеральный закон от 27 июля 2006 г. N 152-ФЗ // Собрание законодательства Российской Федерации. — 2006. — № 31 (часть I). — Ст. 3451. 3. Бачило, И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования /И.Л. Бачило, Л.А. Сергиенко, Б.А. Кристальный., А.Г. Арешев // Информационное право. — 2016. — N 3. 4. Конституция Российской Федерации от 12дскабря 1993 г.: по сост. на 21 июля 2014 г. Н Собрание законодательства Российской Федерации. — 2014. — № 31. — Ст. 4398.

Санкт-Петербург 2021