- •Методические рекомендации по составлению частной модели угроз безопасности испДн Содержание
- •Обозначения и сокращения
- •Введение
- •Определения
- •Общие положения
- •Методология формирования модели угроз
- •Описание испДн
- •Определение условий создания и использования персональных данных
- •Описание форм представления персональных данных
- •Описание структуры испДн
- •Определение характеристик безопасности
- •Пользователи испДн
- •Типы испДн
- •Характеристики испДн
- •5.220Типизация испДн
- •Уровень исходной защищенности
- •Вероятность реализации угроз безопасности
- •Классификация угроз безопасности
- •Классификация нарушителей
- •Внешний нарушитель
- •Внутренний нарушитель
- •Предположения об имеющейся у нарушителя информации об объектах реализации угроз
- •Предположения об имеющихся у нарушителя средствах реализации угроз
- •Классификация уязвимостей испДн
- •Перечень возможных убпДн
- •Определение вероятности реализации убпДн
- •Угрозы утечки информации по техническим каналам
- •Угрозы утечки акустической (речевой) информации
- •Угрозы утечки видовой информации
- •Угрозы утечки информации по каналам пэмин
- •Угрозы несанкционированного доступа к информации
- •Угрозы уничтожения, хищения аппаратных средств испДн носителей информации путем физического доступа к элементам испДн Кража пэвм.
- •Кража носителей информации
- •Кража ключей и атрибутов доступа
- •Кражи, модификации, уничтожения информации
- •Вывод из строя узлов пэвм, каналов связи
- •Несанкционированное отключение средств защиты
- •Недекларированные возможности системного по и по для обработки персональных данных.
- •Установка по не связанного с исполнением служебных обязанностей
- •Непреднамеренная модификация (уничтожение) информации сотрудниками
- •Непреднамеренное отключение средств защиты
- •Выход из строя аппаратно-программных средств
- •Сбой системы электроснабжения
- •Стихийное бедствие
- •Угрозы преднамеренных действий внутренних нарушителей Доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке
- •Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
- •Угрозы несанкционированного доступа по каналам связи
- •Угроза «Анализ сетевого трафика»
- •Перехват за переделами с контролируемой зоны.
- •Перехват в пределах контролируемой зоны внешними нарушителями
- •Перехват в пределах контролируемой зоны внутренними нарушителями.
- •Угроза «сканирование сети»
- •Угроза выявления паролей
- •Угрозы навязывание ложного маршрута сети
- •Угрозы подмены доверенного объекта
- •Внедрение ложного объекта сети
- •Угрозы типа «Отказ в обслуживании»
- •Угрозы удаленного запуска приложений
- •Угрозы внедрения по сети вредоносных программ
- •Реализуемость угроз
- •Оценка опасности угроз
- •Определение актуальности угроз в испДн
На основе файла: методика_частн_модел_минздрав
Методические рекомендации по составлению частной модели угроз безопасности испДн Содержание
Обозначения и сокращения 2
Введение 3
Определения 4
1Общие положения 8
2Методология формирования модели угроз 10
3Описание ИСПДн 11
3.1Определение условий создания и использования персональных данных 11
3.2Описание форм представления персональных данных 12
3.3Описание структуры ИСПДн 13
3.4Определение характеристик безопасности 15
4Пользователи ИСПДн 16
5Типы ИСПДн 19
5.1Характеристики ИСПДн 19
5.25.220Типизация ИСПДн 20
6Уровень исходной защищенности 23
7Вероятность реализации угроз безопасности 27
7.1Классификация угроз безопасности 27
7.2Классификация нарушителей 28
7.3Классификация уязвимостей ИСПДн 34
7.4Перечень возможных УБПДн 35
7.5Определение вероятности реализации УБПДн 37
8Реализуемость угроз 62
9Оценка опасности угроз 82
10Определение актуальности угроз в ИСПДн 96
Обозначения и сокращения
АВС –антивирусные средства
АРМ – автоматизированное рабочее место
ВТСС – вспомогательные технические средства и системы
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
МЭ – межсетевой экран
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПМВ – программно-математическое воздействие
ПО –программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
САЗ –система анализа защищенности
СЗИ –средства защиты информации
СЗПДн – система (подсистема) защиты персональных данных
СОВ –система обнаружения вторжений
ТКУ И – технические каналы утечки информации
УБПДн – угрозы безопасности персональных данных
ФСТЭК России – Федеральная служба по техническому и экспортному контролю
Введение
Методические рекомендации содержат систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ИСПДн). Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которые ведут к ущербу жизненно важным интересам личности, общества и государства.
Методические рекомендации являются методическим документом и предназначены для операторов персональных данных Учреждений, осуществляющих обработку ПДн, и используются при решении следующих задач:
разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования;
анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
контроль за обеспечением уровня защищенности персональных данных.