Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

Методика. Обозначения и сокращения 4


Скачать 4.61 Mb.
НазваниеОбозначения и сокращения 4
АнкорМетодика
Дата10.01.2023
Размер4.61 Mb.
Формат файлаdoc
Имя файлаMetodika_sostavleniya_CHMU_v_uchrezhdeniyah_Minzdravsotcrazvitiy.doc
ТипРеферат
#879490
страница2 из 28
1   2   3   4   5   6   7   8   9   ...   28

1Общие положения


Работы по созданию Частной модели угроз безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств автоматизации (далее – информационная система) проводятся в соответствии со следующими основными документами:

  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

  • Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781 (далее – Положение);

  • Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462) (далее – Порядок);

  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);

  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008г.).

В соответствии с п. 2 Положения безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

В соответствии с п. 12 Положения необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных (далее – модель угроз).

Кроме этого, в соответствии с п. 16 Порядка модель угроз необходима для определения класса специальной информационной системы.

Модель угроз формируется и утверждается оператором в соответствии с методическими документами, разработанными в соответствии с пунктом 2 постановления Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Модель угроз может быть пересмотрена:

  • по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

  • по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

2Методология формирования модели угроз


Разработка модели угроз должна базироваться на следующих принципах:

  1. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).

  2. При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.

  3. Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

  4. Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).

Для разработки модели угроз необходимо последовательно осуществить следующие шаги:

  1. описать ИСПДн (см. раздел 3 на стр. 19);

  2. определить пользователей ИСПДн (см. раздел 4 на стр. 25);

  3. определить тип ИСПДн (см. раздел 5 на стр. 28);

  4. определить исходный уровень защищенности ИСПДн (см. раздел 6 на стр. 32);

  5. определить вероятность реализации угроз в ИСПДн (см. раздел 7 на стр. 37);

  6. определить возможность реализации угроз в ИСПДн (см. раздел 8 на стр. 72);

  7. оценить опасность угроз (см. раздел 9 на стр. 92);

  8. определить актуальность угроз в ИСПДн (см. раздел 10 на стр. 106);

После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.
1   2   3   4   5   6   7   8   9   ...   28

написать администратору сайта