- •Методические рекомендации по составлению частной модели угроз безопасности испДн Содержание
- •Обозначения и сокращения
- •Введение
- •Определения
- •Общие положения
- •Методология формирования модели угроз
- •Описание испДн
- •Определение условий создания и использования персональных данных
- •Описание форм представления персональных данных
- •Описание структуры испДн
- •Определение характеристик безопасности
- •Пользователи испДн
- •Типы испДн
- •Характеристики испДн
- •5.220Типизация испДн
- •Уровень исходной защищенности
- •Вероятность реализации угроз безопасности
- •Классификация угроз безопасности
- •Классификация нарушителей
- •Внешний нарушитель
- •Внутренний нарушитель
- •Предположения об имеющейся у нарушителя информации об объектах реализации угроз
- •Предположения об имеющихся у нарушителя средствах реализации угроз
- •Классификация уязвимостей испДн
- •Перечень возможных убпДн
- •Определение вероятности реализации убпДн
- •Угрозы утечки информации по техническим каналам
- •Угрозы утечки акустической (речевой) информации
- •Угрозы утечки видовой информации
- •Угрозы утечки информации по каналам пэмин
- •Угрозы несанкционированного доступа к информации
- •Угрозы уничтожения, хищения аппаратных средств испДн носителей информации путем физического доступа к элементам испДн Кража пэвм.
- •Кража носителей информации
- •Кража ключей и атрибутов доступа
- •Кражи, модификации, уничтожения информации
- •Вывод из строя узлов пэвм, каналов связи
- •Несанкционированное отключение средств защиты
- •Недекларированные возможности системного по и по для обработки персональных данных.
- •Установка по не связанного с исполнением служебных обязанностей
- •Непреднамеренная модификация (уничтожение) информации сотрудниками
- •Непреднамеренное отключение средств защиты
- •Выход из строя аппаратно-программных средств
- •Сбой системы электроснабжения
- •Стихийное бедствие
- •Угрозы преднамеренных действий внутренних нарушителей Доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке
- •Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке
- •Угрозы несанкционированного доступа по каналам связи
- •Угроза «Анализ сетевого трафика»
- •Перехват за переделами с контролируемой зоны.
- •Перехват в пределах контролируемой зоны внешними нарушителями
- •Перехват в пределах контролируемой зоны внутренними нарушителями.
- •Угроза «сканирование сети»
- •Угроза выявления паролей
- •Угрозы навязывание ложного маршрута сети
- •Угрозы подмены доверенного объекта
- •Внедрение ложного объекта сети
- •Угрозы типа «Отказ в обслуживании»
- •Угрозы удаленного запуска приложений
- •Угрозы внедрения по сети вредоносных программ
- •Реализуемость угроз
- •Оценка опасности угроз
- •Определение актуальности угроз в испДн
Типы испДн
Угрозы безопасности персональных данных (УБПДн) зависят от типа ИСПДн. ИСПДн различают по следующим характеристикам.
Характеристики испДн
По структуреинформационные системы подразделяются:
на автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);
на комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);
на комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
ИСПДн имеет подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, если вся система или ее элементы пересылают данные по электронным каналам связи в другие системы или имеют подключение к сети Интернет.
По режиму обработки персональных данныхв информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
ИСПДн является однопользовательской, когда один сотрудник сочетает в себе роли Администратора и Пользователя ИСПДн, и единолично осуществляет обработку персональных данных на одном автоматизированном рабочем месте. Во всех других случаях, ИСПДн является многопользовательской.
По разграничению прав доступа пользователейинформационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
ИСПДн является системой с разграничением прав, если в ней присутствуют разные группы пользователей с разными правами (см. раздел 4 на стр. 16). ИСПДн является системой без разграничения прав, когда все пользователи имеют одинаковые права на действия с персональными данными.
Информационные системы в зависимости от местонахожденияих технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
5.220Типизация испДн
Исходя из характеристик ИСПДн (см. раздел 6.1.), определяется тип ИСПДн Учреждений. Существуют следующие типы ИСПДн:
Автономная ИС I типа –однопользовательское, автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы.
Автономная ИС II типа –однопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы.
Автономная ИС III типа –многопользовательское автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, без разграничения прав доступа.
Автономная ИС IV типа –многопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, без разграничения прав доступа.
Автономная ИС V типа –многопользовательское, автономное рабочее место, не имеющее подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
Автономная ИС VI типа –многопользовательское, автономное рабочее место, имеющее подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
ЛИС I типа –локальная информационная система, не имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
ЛИС II типа – локальная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
Распределенная ИС I типа – распределенная информационная система, не имеющая подключения к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
Распределенная ИС II типа – распределенная информационная система, имеющая подключение к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы, с разграничением прав доступа.
Необходимо определить к какому типу относится ИСПДн. После чего, в соответствии с типом ИСПДн, определить уровень исходной защищенности (см. раздел 6 на стр. 23), вероятность (см. раздел 7 на стр. 27) и возможность реализации угроз (см. раздел 8 на стр. 62), их опасность (см. раздел 9 на стр. 82) и актуальность (см. раздел 10 на стр. 96).
Error: Reference source not found