МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки
Скачать 122.98 Kb.
|
Наименование предприятия
УЧЕБНЫЙ ПРИМЕР ДЛЯ САМОСТОЯТЕЛЬНОЙ ПОДГОТОВКИ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ «Название ИСПДн» Наименование предприятия РАЗРАБОТЧИК ИНСТИТУТ МОНИТОРИНГА И ОЦЕНКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СОДЕРЖАНИЕ Термины и определения 3 Обозначения и сокращения 5 1.Общие положения 6 1.1.Назначение и область действия документа 6 1.2.Источники разработки 6 1.3.Обладатель информации 7 1.4.Оператор ИСПДн 7 1.5.Ответственные за обеспечение безопасности 7 1.6.Разработчик Модели угроз 7 1.7.Экспертная группа для оценки актуальности угроз 7 2.Описание и характеристики информационной системы персональных данных 9 2.1.Наименование ИСПДн 9 2.2.Уровень защищенности ПДн в ИСПДн 9 2.3.Назначение ИСПДн 9 2.4.Состав защищаемой информации 9 2.5.Характеристики ИСПДн 9 3.Возможные негативные последствия от реализации (возникновения) угроз безопасности информации 11 3.1.Виды рисков (ущербов), актуальных для оператора ИСПДн 12 3.2.Возможные негативные последствия, наступление которых может привести к возникновению рисков (ущербов) 12 4.Возможные объекты воздействия угроз безопасности информации 14 5.Источники угроз безопасности информации 24 6.Способы реализации (возникновения) угроз безопасности информации 39 7.Актуальные угрозы безопасности информации 52 7.1.Определение возможных (вероятных) угроз безопасности информации 52 7.2.Определение возможных сценариев реализации угроз безопасности информации 53 7.3.Определение актуальности угроз безопасности информации 55 7.4.Выводы об актуальности угроз безопасности информации 56 8.Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных и необходимого класса СКЗИ 58 Термины и определенияАрхитектура систем и сетей – совокупность основных структурно-функциональных характеристик, свойств, компонентов систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации; Взаимодействующая (смежная) система – система или сеть, которая в рамках установленных функций имеет взаимодействие посредством сетевых интерфейсов с системой и сетью оператора и не включена им в границу процесса оценки угроз безопасности информации; Возможности нарушителя – мера усилий нарушителя для реализации угрозы безопасности информации, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя; Граница оценки угроз безопасности информации – совокупность информационных ресурсов и компонентов систем и сетей, в пределах которой обеспечивается защита информации (безопасность) в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации (обеспечения безопасности); Информационные ресурсы – информация, данные, представленные в форме, предназначенной для хранения и обработки в системах и сетях; Компонент (системы, сети) – программное, программно-аппаратное или техническое средство, входящее в состав систем и сетей; Обеспечивающие системы – инженерные системы, включающие системы электроснабжения, вентиляции, охлаждения, кондиционирования, охраны и другие инженерные системы, а также средства, каналы и системы, предназначенные для оказания услуг связи, других услуг и сервисов, предоставляемых сторонними организациями, от которых зависит функционирование систем и сетей; Обладатель информации – лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам; Оператор – лицо, осуществляющее деятельность по эксплуатации систем и сетей, в том числе по обработке содержащейся в них информации; Основные (критические) процессы (бизнес-процессы) – управленческие, организационные, технологические, производственные, финансово-экономические и иные основные процессы (бизнес-процессы), выполняемые обладателем информации, оператором в рамках реализации функций (полномочий) или осуществления основных видов деятельности, нарушение и (или) прекращение которых может привести к возникновению рисков (ущербу); Пользователь – лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в системе или сети и использующее результаты ее функционирования; Поставщик услуг – лицо, предоставляющее оператору и (или) обладателю на основании договора или ином законном основании услуги по использованию своих вычислительных ресурсов, программного обеспечения, средств хранения или передачи информации; Программно-аппаратное средство – устройство, состоящее из аппаратного обеспечения и функционирующего на нем программного обеспечения, участвующее в формировании, обработке, передаче или приеме информации; Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации; Уязвимость – недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации. |