|
сервисами вычислительной сети, путем |
||||||
|
перебора; |
|
|
|
|
||
|
Т1.12. Сбор личной идентификационной |
||||||
|
информации |
|
(идентификаторы |
||||
|
пользователей, устройств, информация об |
||||||
|
идентификации пользователей сервисами, |
||||||
|
приложениями, |
средствами |
удаленного |
||||
|
доступа), в том числе сбор украденных |
||||||
|
личных |
данных |
сотрудников |
и |
|||
|
подрядчиков |
на |
случай, |
если |
|||
|
сотрудники/подрядчики используют одни и |
||||||
|
те же паролина работе и за ее пределами |
||||||
Т2. Получение первоначального доступа к |
Т2.10. Несанкционированный доступ путем |
||||||
компонентам систем и сетей |
подбора учетных данных сотрудника или |
||||||
|
легитимного |
пользователя |
(методами |
||||
|
прямого перебора, словарных атак, паролей |
||||||
|
производителей |
|
по |
умолчанию, |
|||
|
использования |
одинаковых паролей |
для |
||||
|
разных |
учетных записей, |
применения |
||||
|
«радужных» таблиц или другими) |
|
|||||
Т10. Несанкционированный доступ и |
Т10.1. |
Несанкционированный |
доступ к |
||||
(или) воздействие на информационные |
информации в памяти системы, файловой |
||||||
системе, базах данных, репозиториях, в |
|||||||
|
|||||||
ресурсыили компоненты систем и сетей, |
программных модулях и прошивках |
|
|||||
приводящие к негативным |
|
|
|
|
|
|
|
последствиям |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Схема реализации приведенного сценария показана на рисунке 5.
21
Рисунок 5 – Схема возможного сценария реализации угрозы несанкционированного доступа
Исходя из полученных данных, определим уровень защищённости предприятия.
В ИС обрабатываются персональные данные пользователей, которые не попадают ни в одну из категорий (ИСПДн-И): сотрудников и не являющихся сотрудниками организации (более 100 тыс.), актуальны угрозы 1 типа
(наличие недекларированных возможностей в системном ПО) – уровень защищённости ИСПДн-И – УЗ 2. Исходя из таблицы ниже.
22
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
|||
|
|
|
|
|
|
|
ИСПДн-С более чем 100 |
|
|
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
УЗ 1 |
УЗ 2 |
|||
|
||||||
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-С сотрудников |
|
|
|
|
|
|
|
|
|
|
|
|
|
оператора или специальные |
|
|
|
|
|
|
категории персональных |
|
|
|
|
|
|
данных менее чем 100 |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|||
000 субъектов ПДн, не |
|
|
|
|
|
|
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-Б |
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
|
|
|
|
|||
|
|
|
|
|
|
|
ИСПДн-И более чем 100 |
|
|
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
|
УЗ 2 |
|
УЗ 3 |
|
|
|
|
|
|||
являющихся сотрудниками |
|
|
|
|
|
|
оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
ИСПДн-И данных |
|
|
|
|
|
|
сотрудников оператора или |
|
|
|
|
|
|
иные категории ПДн менее |
УЗ 1 |
|
УЗ 3 |
|
УЗ 4 |
|
|
|
|
|
|||
чем 100000 субъектов ПДн, |
|
|
|
|
|
|
не являющихся |
|
|
|
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
|
|
|
|
|
|
23
ИСПДн-О более чем 100 |
|
|
|
000 субъектов ПДн, не |
УЗ 2 |
УЗ 2 |
УЗ 4 |
|
|||
являющихся сотрудниками |
|
|
|
оператора |
|
|
|
|
|
|
|
ИСПДн-О сотрудников |
|
|
|
оператора или |
|
|
|
общедоступные ПДн менее |
|
|
|
|
УЗ 2 |
УЗ 3 |
УЗ 4 |
чем 100 000 субъектов ПДн, |
|
|
|
не являющихся |
|
|
|
сотрудниками оператора |
|
|
|
|
|
|
|
24
ВЫВОДЫ
Результатом данной работы является анализ уровня защищенности персональных данных в организации «МТС». В ходе анализа были определены следующие параметры:
1.Актуальность угроз 1 типа (наличие недекларированных возможностей в системном ПО);
2.уровень защищённости ИСПДн-И – УЗ 2.