- •Введение Паспорт краткое описание предприятия
- •Реквизиты организации
- •Виды деятельности
- •Структура предприятия
- •Местоположение предприятия
- •Предметы защиты информации
- •Положение 1
- •Положение 1.2
- •Показатели исходной защищенности испДн.
- •Положение 2
- •Модели угроз
- •Угрозы утечки информации
- •Класс защищенности
Модели угроз
Типовые модели угроз безопасности персональных данных,
обрабатываемых в информационных системах персональных данных
По структуре: локальные информационные системы.
По наличию подключений к сетям: имеющие подключения.
По режиму обработки персональных данных: многопользовательские.
По разграничению прав доступа пользователей: системы с разграничением прав доступа.
Локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
Типовая модель угроз безопасности персональных данных,
обрабатываемых в локальных информационных системах
персональных данных, не имеющих подключения к сетям связи общего
пользования и (или) сетям международного информационного обмена
При обработке ПДн в локальных ИСПДн, не имеющие подключения
к сетям связи общего пользования и (или) сетям международного
информационного обмена, возможна реализация следующих УБПДн:
угрозы утечки информации по техническим каналам;
угрозы НСД к ПДн, обрабатываемым на автоматизированном
рабочем месте.
Угрозы утечки информации по техническим каналам включают в себя:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналу ПЭМИН.
Возникновение УБПДн в рассматриваемых ИСПДн по техническим
каналам характеризуется теми же условиями и факторами, что и для локальных
ИСПДн, не имеющих подключения к сетям связи общего пользования и (или)
сетям международного информационного обмена.
Угрозы НСД в локальных ИСПДн связаны с действиями нарушителей,
имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих
угрозы непосредственно в ИСПДн.
Угрозы НСД в ИСПДн, связанные с действиями нарушителей, имеющих
доступ к ИСПДн, аналогичны тем, которые имеют место для отдельного
АРМ, не подключенного к сетям связи общего пользования. Кроме того, в
такой ИСПДн могут иметь место:
угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети
информации;
угрозы выявления паролей;
угрозы удаленного запуска приложений;
угрозы внедрения по сети вредоносных программ.
Угрозы утечки информации
Предел степени сохранности данных в любой ИС определяется прежде всего факто
рами, связанными с участием в ее работе человека. Естественно, что не существует ка
ких либо причин, по которым в ИС, базирующихся на современных средствах вычисли
тельной техники, невозможно было бы обеспечить большую степень сохранности данных,
чем в обычных системах сбора, накопления и обработки информации.
Угрозами информации будем называть потенциально возможные события, которые мо
гут привести к нарушению целостности информации либо оказать негативное воздей
ствие на процессы ее обработки.
Основными каналами утечки информации считается хищение носителей информации и
документов, получаемых в результате работы информационных систем; копирование
информации на ПК; несанкционированное подключение к аппаратуре и линиям связи;
перехват электромагнитных излучений в процессе обработки информации и многое
другое.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:
а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;
б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;
г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;
е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.