сервер (FTP, построенный на Debian Linux).
АРМ в локальной сети связаны линейно с использованием оптоволоконных линий связи, взаимодействуют при помощи коммутаторов, в серверной находится маршрутизатор. При обмене данными с внешней средой используется межсетевой экран (файрволл).
1.Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
Основным ресурсом АО «МИКРОН» является конфиденцальная информация в цифровом виде, хранящаяся в базах данных и передаваемая по каналам связи между персоналом, в том числе персональные данные, подлежащие защите в соответствии с ФЗ «О персональных данных», и информация, защищаемая законом «Об авторском праве и смежных правах».
Негативные последствия от реализации угроз безопасности информации связаны с нарушением конфиденциальности этой информации, в результате которого нарушаются права субъектов персональных данных и соответствующие законы.
По результатам оценки, наиболее приоритетными целями ИБ для оцениваемого объекта являются «Конфиденциальность» и «Доступность».
2. Возможные объекты воздействия угроз безопасности информации
Компоненты, указанные на схеме компании, (рисунок 1) участвуют в обработке и хранении защищаемой информации и обеспечивают реализацию основных процессов в компании:
Основные информационные ресурсы и компоненты системы:
1)База аутентификационных данных;
2)СУБД;
3)файловый сервер;
4)веб-сервер;
5)сервер БД;
6)ПО для администрирования,
7)проводные и беспроводные каналы передачи данных.
Виды воздействия для определенных выше информационных ресурсов и компонентов системы, которые могут привести к негативным последствиям, представлены в таблице 2.
Актуальными нарушителями (антропогенными источниками угроз) безопасности информации АО МИКРОН являются:
3)хакеры;
4)конкурирующие организации;
5)администраторы;
6)авторизованные пользователи;
Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.
В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
Внутренние нарушители имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:
9)Авторизованные пользователи имеют пользовательские права доступа (доступ в личный кабинет на веб-сайте).
10)Администраторы имеют привилегированные права доступа (доступ к соответствующим АРМ и ПО администрирования).
Результат определения актуальных нарушителей при реализации угроз безопасности информации в АО МИКРОН представлен в таблице 4.
3. Способы реализации (возникновения) угроз безопасности информации
Предполагается, что нарушитель уровня Н1 имеет:
1) доступные в свободной продаже технические средства и программное обеспечение.
Предполагается, что нарушитель уровня Н2 имеет:
1) доступные в свободной продаже технические средства и
программное обеспечение; 2) специально разработанные технические средства и программное
обеспечение.
Актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей (и их возможности).
При разработке описаний возможных угроз безопасности информации учитывались:
11)актуальные нарушители и уровни их возможностей;
12)основные способы реализации угроз безопасности информации;
13)возможные негативные последствия реализации угроз. Возможные сценарии реализации угроз безопасности информации:
1)Возможный сценарий реализации угрозы удаления информационных ресурсов состоит из четырёх последовательных тактик: Т1, Т2, Т3, Т10 и соответствующих им техник
2)Возможный сценарий реализации угрозы утечки информации состоит из четырёх последовательных тактик: Т1, Т2, Т7, Т10 и соответствующих им техник
3)Возможный сценарий реализации угрозы несанкционированного
доступа состоит из трёх последовательных тактик: Т1, Т2, Т10 и соответствующих им техник.
В результате анализа, представленного в таблице 2, ИСПДн имеет средний уровень исходной защищенности (так как не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний», а остальные
– низкому уровню защищенности). ИСПДн АО МИКРОН обрабатывает данные, относящиеся к категории биометрические – ИСПДн-И.
Уровень защищенности ПДн определяется в таблице 3.
Таблица 3 – Уровни защищенности персональных данных
Категория ПДн + кол-во |
АУ 1 типа |
АУ 2 типа |
АУ 3 типа |
ИСПДн-С более чем 100 |
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
УЗ 1 |
УЗ 2 |
|
являющихся сотрудниками |
||||
|
|
|
||
оператора |
|
|
|
|
|
|
|
|
|
ИСПДн-С сотрудников |
|
|
|
|
оператора или |
|
|
|
|
специальные категории |
|
|
|
|
персональных данных |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
менее чем 100 |
|
|
|
|
000 субъектов ПДн, не |
|
|
|
|
являющихся сотрудниками |
|
|
|
|
оператора |
|
|
|
|
ИСПДн-Б |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
|
|
|
|
|
ИСПДн-И более чем 100 |
|
|
|
|
000 субъектов ПДн, не |
УЗ 1 |
УЗ 2 |
УЗ 3 |
|
являющихся сотрудниками |
||||
|
|
|
||
оператора |
|
|
|
|
|
|
|
|
|
ИСПДн-И данных |
|
|
|
|
сотрудников оператора |
|
|
|
|
или иные категории ПДн |
УЗ 1 |
УЗ 3 |
УЗ 4 |
|
менее чем 100000 |
||||
|
|
|
||
субъектов ПДн, не |
|
|
|
|
являющихся |
|
|
|
|
сотрудниками оператора |
|
|
|
|
ИСПДн-О более чем 100 |
|
|
|
|
000 субъектов ПДн, не |
УЗ 2 |
УЗ 2 |
УЗ 4 |
|
являющихся сотрудниками |
||||
|
|
|
||
оператора |
|
|
|
|
|
|
|
|