Главная страница
Навигация по странице:

  • Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

  • 10. Заключение

  • ИСПДн ____________________ классифицируется, как специальная ИСПДн класса K 3.

  • ПРИМЕР ЗАПОЛНЕНИЯ МОДЕЛИ УГРОЗ информационной системы персональных данных. Пример заполнения модели угроз информационной системы персональных данных Учреждения


    Скачать 0.81 Mb.
    НазваниеПример заполнения модели угроз информационной системы персональных данных Учреждения
    АнкорПРИМЕР ЗАПОЛНЕНИЯ МОДЕЛИ УГРОЗ информационной системы персональных данных
    Дата01.08.2022
    Размер0.81 Mb.
    Формат файлаdoc
    Имя файлаfile-014.doc
    ТипРеферат
    #638685
    страница6 из 6
    1   2   3   4   5   6

    9. Модель угроз безопасности



    Исходный класс защищенности – средний (Y1=5).

    Таблица 8 – Угрозы безопасности

    Наименование угрозы

    Вероятность реализации угрозы (Y2)

    Возможность реализации угрозы (Y)

    Опасность угрозы

    Актуальность угрозы

    Меры по противодействию угрозе




    Технические

    Организационные




    1. Угрозы от утечки по техническим каналам




    1.1. Угрозы утечки акустической информации

    Маловероятна

    Низкая

    Низкая

    Неактуальная




    Инструкция пользователя

    Технологический процесс




    1.2. Угрозы утечки видовой информации

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Жалюзи на окна

    Расположение монитора

    Инструкция пользователя

    Технологический процесс




    1.3. Угрозы утечки информации по каналам ПЭМИН

    Маловероятна

    Низкая

    Низкая

    Неактуальная










    2. Угрозы несанкционированного доступа к информации













    2.1. Угрозы уничтожения, хищения аппаратных средств испдн носителей информации путем физического доступа к элементам испдн




    2.1.1. Кража ПЭВМ

    Маловероятна

    Низкая

    Низкая

    Неактуальная




    Пропускной режим

    Охрана














    2.1.2. Кража носителей информации

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Хранение в сейфе

    Шифрование данных при помощи ViPNet SafeDisk

    Пропускной режим

    Охрана

    Акт установки средств защиты

    Учет носителей информации

    Инструкция пользователя




    2.1.3. Кража ключей доступа

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Хранение в сейфе

    Инструкция пользователя








    2.1.4. Кражи, модификации, уничтожения информации.

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Шифрование данных при помощи ViPNet SafeDisk

    Система защиты от НСД ViPNet Personal Firewall

    Пропускной режим

    Охрана

    Акт установки средств защиты




    2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

    Маловероятна

    Низкая

    Низкая

    Неактуальная




    Пропускной режим

    Охрана





    2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Шифрование данных при помощи ViPNet SafeDisk


    Ремонт допущенными сотрудниками учреждения




    2.1.7. Несанкционированное отключение средств защиты

    Низкая вероятность

    Средняя

    Низкая

    Неактуальная

    Настройка средств защиты

    Инструкция администратора безопасности

    Технологический процесс обработки











    2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);




    2.2.1. Действия вредоносных программ (вирусов)

    Низкая вероятность

    Средняя

    Низкая

    Неактуальная

    Антивирусное ПО «Касперский 6.0»

    Инструкция пользователя

    Инструкция ответственного

    Инструкция администратора безопасности

    Технологический процесс обработки

    Инструкция по антивирусной защите




    2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Настройка средств защиты

    Приобретение у доверенной организации




    2.2.3. Установка ПО не связанного с исполнением служебных обязанностей

    Средняя вероятность

    Средняя

    Низкая

    Неактуальная

    Настройка средств защиты

    Инструкция пользователя

    Инструкция ответственного

    Инструкция администратора безопасности

    Технологический процесс обработки





    2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования испдн и сзпдн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.





    2.3.1. Утрата ключей и атрибутов доступа

    Средняя вероятность

    Средняя

    Низкая

    Неактуальная

    Хранение в сейфе

    Инструкция пользователя

    Инструкция администратора безопасности

    Журнал учета паролей




    2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

    Высокая вероятность

    Высокая

    Низкая

    Актуальная

    Настройка средств защиты

    Инструкция пользователя





    2.3.3. Непреднамеренное отключение средств защиты

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности

    Настройка средств защиты

    Инструкция пользователя

    Инструкция администратора безопасности Инструкция по антивирусной защите





    2.3.4. Выход из строя аппаратно-программных средств

    Средняя вероятность

    Средняя

    Низкая

    Неактуальная










    2.3.5. Сбой системы электроснабжения

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Использование источника бесперебойного электропитания







    2.3.6. Стихийное бедствие

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Пожарная сигнализация

    Инструкция по действиям в случае возникновения нештатной ситуации




    2.4. Угрозы преднамеренных действий внутренних нарушителей










    2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    Шифрование данных при помощи ViPNet SafeDisk

    Система защиты от НСД ViPNet Personal Firewall

    Акт установки средств защиты

    Разрешительная система допуска

    Технологический процесс обработки





    2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

    Маловероятна

    Низкая

    Низкая

    Неактуальная




    Обязательство о не разглашении

    Инструкция пользователя




    2.5. Угрозы несанкционированного доступа по каналам связи




    2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из испдн и принимаемой из внешних сетей информации:




     




    2.5.1.1. Перехват за переделами с контролируемой зоны;

    Маловероятна

    Низкая

    Низкая

    Неактуальная










    2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями;

    Маловероятна

    Низкая

    Низкая

    Неактуальная



















    2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями.

    Маловероятна

    Низкая

    Низкая

    Неактуальная










    2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

    Высокая вероятность

    Высокая

    Низкая

    Актуальная

    ViPNet Personal Firewall







    2.5.3. Угрозы выявления паролей по сети.

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.4. Угрозы навязывание ложного маршрута сети.

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.5. Угрозы подмены доверенного объекта в сети.

    Маловероятна

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях.

    Маловероятно

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.7. Угрозы типа «Отказ в обслуживании».

    Маловероятно

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.8. Угрозы удаленного запуска приложений.

    Маловероятно

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall







    2.5.9. Угрозы внедрения по сети вредоносных программ.

    Маловероятно

    Низкая

    Низкая

    Неактуальная

    ViPNet Personal Firewall

    Антивирусное ПО «Касперский 6.0»








    10. Заключение
    Ввиду исключительной роли в ____________________ лиц категорий I и II в число этих лиц должны включаться только доверенные лица, к которым применен комплекс организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

    Лица категорий III-VII относятся к вероятным нарушителям.

    Среди лиц категорий III-VII наиболее опасными вероятными нарушителями являются лица категорий V-VI (уполномоченный персонал разработчиков ____________________, который на договорной основе имеет право на техническое обслуживание и модификацию компонентов ____________________, бывшие сотрудники).

    На основании проведенного анализа можно сделать вывод что вероятный нарушитель относится к классу Н1.

    Представленная модель угроз для ____________________ должна использоваться при формировании обоснованных требований информационной безопасности и проектировании ИСПД ТБ.

    Для предотвращения возможности реализации актуальных угроз безопасности необходимо:

    - организовать резервное копирование информации, хранящейся в ИСПДн ____________________;

    - обеспечить защиту сетевого периметра АРМ с ИСПДн ____________________ с помощью межсетевого экрана;

    - разработать инструкции пользователей ИСПДн ____________________.

    В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, исходя из анализа угроз безопасности ПДн, а так же учитывая то, что:

    • ИСПД ТБ является специальной информационной системой,

    • в ИСПД ТБ одновременно обрабатываются данные менее 1000 субъектов персональных данных,

    • нарушение безопасности персональных данных, обрабатываемых в ИСПД ТБ, может привести к незначительным негативным последствиям для субъектов персональных данных,

    • класс информационной системы определяется по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных,

    можно определить, что ИСПДн ____________________ классифицируется, как специальная ИСПДн класса K3.

    Аттестация ИСПДн _________________ не требуется




    1   2   3   4   5   6


    написать администратору сайта