
- •10.03.01 Информационная безопасность
- •Термины и определения
- •Сокращения
- •Общие положения
- •Описание информационной системы персональных данных
- •Описание существующей системы защиты информационной системы персональных данных
- •Перечень угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных
- •Модель нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных
- •Определение актуальных угроз безопасности персональных данных при их обработке в информационной системе
- •Определение уровня исходной защищенности информационной системы персональных данных
- •Определение вероятности реализации угроз безопасности персональных данных
- •Определение возможности реализации угроз безопасности персональных данных
- •Определение опасности угроз безопасности персональных данных
- •Определение актуальных угроз безопасности персональных данных
- •Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия»
Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Бухгалтерия»
Наименование угрозы |
Вероят ность реализ ации угрозы (Y2) |
Промеж уточ- ный расчет Y=(Y1+ Y2)/20 |
Возможно сть реализац ии угрозы (Y) |
Опасно сть угрозы |
Актуальност ь угрозы |
Нару шител ь |
Организационно-технические меры по защите ИСПДн от угрозы |
Просмотр информации на дисплее компьютера в составе системы работниками, не допущенными к персональным данным |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых установлены устройства отображения информации АРМ в составе ИСПДн; 2. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте; 3. Использование плотных штор или жалюзи на окнах в помещениях, в которых установлены устройства отображения информации АРМ в составе ИСПДн. |
Просмотр информации на дисплее компьютера в составе системы посторонними лицами, находящимися в помещении, в котором ведется обработка персональных данных |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых установлены устройства отображения информации АРМ в составе ИСПДн; 2. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте; 3. Использование плотных штор или жалюзи на окнах в помещениях, в которых установлены устройства отображения информации АРМ в составе ИСПДн. |
Просмотр информации на дисплее пользователей системы посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2 |
1. Расположение дисплеев пользователей ИСПДн в местах, исключающих возможность прямо видимости между средством наблюдения и устройством отображения информации;2. Размещение элементов ИСПДн на удалении от границ контролируемой зоны;3. Использование плотных штор или жалюзи на окнах в помещениях, в которых установлены устройства отображения информации |
Просмотр информации на дисплеях пользователей системы с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка персональных данных |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала в помещения, в которых ведется обработка ПДн; 2. Проведение работ по выявлению возможных мест установки закладных устройств (с учетом особенностей их работы); 3. Организация работы службы безопасности по контролю излучений в эфире, сетях связи, управления и анализу частотного диапазона и способов работы закладных устройств; 4. Проведение мероприятий по обнаружению закладных устройств и противодействию съему информации с их использованием. |
Перехват управления загрузкой операционной системы (ОС) компьютеров в составе системы (угрозы, направленные на перехват |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
Н2;Н3; Н5;Н6; Н7;Н8; Н9 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к рабочим станциям в составе ИСПДн;2. Запрет загрузки с отчуждаемых носителей информации;3. Запрет самостоятельного изменения |
паролей или идентификаторов, модификацию базовой системы ввода/вывод, перехват управления загрузкой) |
|
|
|
|
|
|
аппаратно-программной конфигурации;4. Использование систем обнаружения вторжений;5. Использование средств анализа защищенности. |
Вызов штатных программ ОС компьютеров в составе системы или запуск специально разработанных программ, реализующих несанкционированный доступ к системе |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
Н2;Н3; Н5;Н6; Н7;Н8; Н9 |
1. Использование систем обнаружения вторжений;2. Использование средств анализа защищенности;3. Использование систем доверенной загрузки;4. Назначение пользователям ИСПДн прав, минимально необходимых для выполнения служебных обязанностей. |
Внедрение в систему вредоносных программ |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
H1;Н2; Н3;H4; Н5;Н6; Н7;Н8; Н9 |
1. Использование средств антивирусной защиты; 2. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 3. Использование систем доверенной загрузки. |
Хищение элементов компьютера в составе системы, содержащих персональные данные |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2;Н3; Н5;Н6; Н7 |
1. Реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам; 2. Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации; 3. Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации. |
Хищение отчуждаемых носителей информации, содержащих персональные данные |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н2;Н3; Н5;Н6; Н7 |
1. Учёт и маркировка отчуждаемых носителей информации содержащих ПДн; 2. Доведение до персонала ИСПДн информации об обязанности обеспечения сохранности отчуждаемых носителей информации, содержащих ПДн; 3. Хранение отчуждаемых носителей в специализированных местах (запирающиеся шкафы, сейфы и т.п.); 4. Повышение осведомленности пользователей ИСПДн в вопросах информационной безопасности (ИБ). |
Вывод из строя компьютера в составе системы |
0 |
0,25 |
Низкая |
Низкая |
Неактуальная |
Н2;Н3; Н5;Н6; Н7;Н8; Н9 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к АРМ в составе ИСПДн;2. Расположение АРМ в составе ИСПДн в пределах контролируемой зоны;3. Резервирование технических средств, дублирование массивов и носителей информации;4. Наличие средств восстановления и контроля работоспособности. |
Внедрение в систему аппаратных закладок |
0 |
0,25 |
Низкая |
Низкая |
Неактуальная |
Н2;Н3; Н5;Н6; Н7;Н9 |
1. Реализация разрешительной системы допуска пользователей и обслуживающего персонала к рабочим станциям в составе ИСПДн; 2. Проведение работ по обслуживанию ИСПДн, выполняемых работниками сторонних организаций, в присутствии работника организации; 3. Привлечение |
|
|
|
|
|
|
|
исполнителей работ по обслуживанию ИСПДн, прошедших сертификацию; 4. Заключение соглашений о конфиденциальности со сторонними организациями, выполняющими работы по обслуживанию ИСПДн; 5. Включение в договор на оказание услуг по поставке, сопровождению и ремонту технических средств ИСПДн требований по информационной безопасности. |
Анализ сетевого трафика с перехватом передаваемой из системы и принимаемой в системе из внешних сетей информации |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
Н1;Н2; Н3; H4;Н5; Н6;Н7; Н8;Н9 |
1. Шифрование сетевого трафика и использование безопасных протоколов удаленной аутентификации пользователей; 2. Использование средств криптографической защиты информации, прошедших в установленном порядке процедуру оценки соответствия; 3. Сегментация вычислительной сети ИСПДн. |
Сканирования, направленные на выявление типов операционных систем, сетевых адресов компьютеров системы, открытых портов и служб, открытых соединений и др. |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
Н1 |
1. Использование систем обнаружения вторжений; 2. Использование средств анализа защищенности; 3. Применение средств межсетевого экранирования; 4. Фильтрация сетевых пакетов по правилам, заданным оператором. |
Выявление паролей |
2 |
0,35 |
Средняя |
Средняя |
Актуальная |
Н1;Н2; Н3;Н5; Н6;Н7; Н8;Н9 |
1. Запрет установки ПО, не связанного с исполнением служебных обязанностей; 2. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности ПДн при их обработке в ИСПДн, прав доступа пользователей к АРМ и установленного на них ПО; 3. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей; 4. Использование систем обнаружения вторжений; 5. Использование средств анализа защищенности. |
Сетевые атаки типа «Отказ в обслуживании» |
2 |
0,35 |
Средняя |
Низкая |
Неактуальная |
Н1 |
1. Применение стойких алгоритмов идентификации и аутентификации хостов, пользователей и т.д.; 2. Применение средств межсетевого экранирования; 3. Использование систем обнаружения вторжений; 4. Использование средств анализа защищенности; 5. Фильтрация сетевых пакетов по правилам, заданным оператором. |
Удаленный запуск приложений в системе |
2 |
0,35 |
Средняя |
Средняя |
Актуальная |
Н1;Н2; Н3;H4; Н5;Н6; Н7;Н8; Н9 |
1. Использование средств антивирусной защиты; 2. Запрет установки ПО, не связанного с исполнением служебных обязанностей; 3. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 4. Управление доступом пользователей к операционной системе ИСПДн; 5. Регистрация и учет входа (выхода) пользователей в систему; 6. Регистрация запуска программ и процессов; 7. Использование систем обнаружения вторжений; 8. Использование средств анализа защищенности; 9. Применение средств межсетевого экранирования. |
Внедрение по сети вредоносных программ |
0 |
0,25 |
Низкая |
Средняя |
Неактуальная |
Н1;Н2; Н3;H4; Н5;Н6; Н7;Н8; Н9 |
1. Использование средств антивирусной защиты; 2. Регулярное обновление ПО, используемого в серверных компонентах ИСПДн и АРМ; 3. Анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности); 4. Использование систем обнаружения вторжений. |
Ошибочные действия пользователей, приводящие к нарушению безопасности персональных данных |
5 |
0,5 |
Средняя |
Средняя |
Актуальная |
Н1;Н2; Н3;H4; Н5;Н6; Н7;Н8; Н9 |
1. Доведение до пользователей ИСПДн информации об обязанности обеспечения безопасности ПДн; 2. Контроль действий пользователей ИСПДн и вводимых ими данных; 3. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей; 4. Периодическое проведение занятий по повышению осведомленности в области защиты информации; 5. Периодическое проведение тестирований и опросов для оценки текущего уровня осведомленности в области ЗИ. |
Выход из строя аппаратно- программных средств системы в результате неисправностей, сбоев, аварий |
2 |
0,35 |
Средняя |
Низкая |
Неактуальная |
- |
1. Резервирование технических средств, дублирование массивов и носителей информации; 2. Наличие средств восстановления и контроля работоспособности. |
Уничтожение данных в системе или блокирование доступа к системе, вызванное стихийными бедствиями |
2 |
0,35 |
Средняя |
Низкая |
Неактуальная |
- |
1. Резервирование технических средств, дублирование массивов и носителей информации; 2. Хранение резервных копий отдельно от элементов ИСПДн, содержащих резервируемые данные; 3. Наличие средств восстановления и контроля работоспособности. |
Список литературы: 1. Бачило, ИЛ. Информационное право РФ : Учебник для вузов / И.Л. Бачило. — М.: Издательство Юрайт. 2016.- 522 с. 2. О персональных данных: федеральный закон от 27 июля 2006 г. N 152-ФЗ // Собрание законодательства Российской Федерации. — 2006. — № 31 (часть I). — Ст. 3451. 3. Бачило, И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования /И.Л. Бачило, Л.А. Сергиенко, Б.А. Кристальный., А.Г. Арешев // Информационное право. — 2016. — N 3. 4. Конституция Российской Федерации от 12дскабря 1993 г.: по сост. на 21 июля 2014 г. Н Собрание законодательства Российской Федерации. — 2014. — № 31. — Ст. 4398.
Санкт-Петербург 2021