2 ЧМУ Шаблон. Ооо астралм
 Скачать 321.51 Kb.
|
 
Для служебного пользования Экз. №1 ЧАСТНАЯ МОДЕЛЬ УГРОЗ № @Data@-МУ/20-П безопасности персональных данных при их обработке в информационной системе персональных данных «@ISPDN@»
2020 СОДЕРЖАНИЕ Содержание 2 1 Общие положения 8 2.1 Информационная характеристика ИСПДн в соответствии с требованиями постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» 11 2.1.1 Вид обрабатываемых персональных данных (далее по тексту «ПДн») в ИСПДн: 11 Ф.И.О., дата рождения, пол, тип, серия, номер документа, удостоверяющего личность, образовательное учреждение, адрес проживания, состав семьи, класс, данные об успеваемости, Ф.И.О. учителей, должность, квалификационная категория. 11 2.1.2 Тип ИСПДн 11 ИСПДн обрабатывает иные категории персональных данных субъектов персональных данных, являющихся\не являющихся сотрудниками оператора. 11 2.1.3 Объем обрабатываемых в ИСПДн персональных данных 11 В ИСПДн одновременно обрабатываются данные менее чем 100 тыс. субъектов персональных данных. 11 2.1.4 Наличие в ИСПДн недокументированных (недекларированных) возможностей 11 2.2 Состав и структура ИСПДн 11 2.2.1 ИСПДн представляет собой комплекс, состоящий из автоматизированного рабочего места (АРМ), периферийного оборудования, объединенных в единую информационную систему средствами связи. 11 2.2.2 ИСПДн частично обеспечена средствами защиты информации, прошедшими процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. 11 2.2.3 Территориально технические средства ИСПДн размещены в служебном помещении одного здания и находятся в пределах контролируемой зоны. 11 2.2.4 Схема построения и взаимодействия ИСПДн приведена в Приложении А. 11 2.3 Технические и эксплуатационные характеристики ИСПДн 12 2.3.1 По территориальному размещению - локальная ИСПДн, развернутая в пределах одного здания. 12 2.3.2 По наличию соединения с сетями общего пользования - ИСПДн имеет одноточечный выход в сеть общего пользования. 12 2.3.3 По встроенным (легальным) операциям с записями баз персональных данных - модификация, передача. 12 2.3.4 По разграничению доступа к персональным данным – ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн. 12 2.3.8 По режиму обработки персональных данных - многопользовательский. 12 3.1. Классификация угроз безопасности персональных данных в ИСПДн 13 3.2 Угрозы утечки персональных данных по техническим каналам 16 3.3 Угрозы несанкционированного доступа (НСД) к информации в ИСПДн 20 3.4 Перечень угроз безопасности ПДн в ИСПДн 24 4 Определение актуальных угроз безопасности ПДн в ИСПДн 26 4.2 Определение уровня исходной защищенности ИСПДн 26 4.3 Определение частоты (вероятности) реализации угрозы в ИСПДн 28 4.4 Определение коэффициента реализуемости угрозы (Y) и возможности реализации угрозы в ИСПДн 29 Приложение А Схема построения и взаимодействия ИСПДн 29 Приложение Б Перечень угроз безопасности персональных данных при их обработке в ИСПДн «@ISPDN@», определение актуальности угроз (на 3 листах) 30 Обозначения и сокращения
Термины и определения В настоящем документе применяются следующие термины с соответствующими определениями: Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. Доступ к информации - возможность получения информации и ее использования. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание сторонних лиц, а также транспортных, технических и иных материальных средств. Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы. Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Программная закладка - код программы, преднамеренно внесенный программу с целью осуществить утечку, изменить, блокировать, уничтожать информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства. Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа. Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации). Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иных неправомерные действия при их обработке в информационной системе персональных данных. Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения). |