Файловый архив студентов. Файловый архив студентов.
1295 вузов, 5022 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Ухтинский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
21-31.docx
Скачиваний:
22
Добавлен:
16.12.2018
Размер:
60.07 Кб
Скачать
►Содержание►

25. Модель угроз

"Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которое ведет к ущербу жизненно важных интересов личности, общества и государства.

Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:

    • с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;

    • с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.

Модель угроз является методическим документом и предназначена для государственных и муниципальных органов, юридических и (или) физических лиц (далее - операторов), организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем. С применением Модели угроз решаются следующие задачи:

    • разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования;

    • анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;

    • разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;

    • проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;

    • недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;

    • контроль обеспечения уровня защищенности персональных данных.

В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБГТДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации.

Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления' новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке.

Разработка модели угроз безопасности ПДн по требованиям ФСТЭК России и ФСБ РФ.

Разработка частной модели угроз безопасности ПДн при их обработке в ИСПДн осуществляется на основании сведений, полученных на этапе обследования, отдельно, для каждой ИСПДн. Частная модель угроз подготавливается в соответствии с методическими документами ФСТЭК России и включает перечень угроз безопасности персональных данных с оценкой их актуальности для конкретного оператора. Моделирование угроз осуществляется экспертным методом. Это значит, что разрабатывать частую модель угроз должно лицо, имеющее соответствующее образование в сфере защиты информации. Неправильное моделирование угроз неизбежно приводит к увеличению рисков возникновения инцидентов информационной безопасности, созданию предпосылок к нарушению прав субъектов ПДн, имиджевым и материальным потерям оператора.

  1. Методология формирования модели угроз

Разработка модели угроз должна базироваться на следующих принципах:

  1. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).

  2. При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.

  3. Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

  4. Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).

Для разработки модели угроз необходимо последовательно осуществить следующие шаги:

  1. описать ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  1. определить пользователей ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  2. определить тип ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  3. определить исходный уровень защищенности ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  4. определить вероятность реализации угроз в ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  5. определить возможность реализации угроз в ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  6. оценить опасность угроз (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

  7. определить актуальность угроз в ИСПДн (см. раздел Error: Reference source not found на стр. Error: Reference source not found);

После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности