Коммерческая тайна - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
страница 1страница 2
Похожие работы
Название работы Кол-во страниц Размер
Коммерческая тайна 1 132.76kb.
Закон республики казахстан о товарных биржах (с изменениями и дополнениями... 1 230.2kb.
General ciчто такое коммерческая тайна и как ее защитить? 1 78.37kb.
Нежданов И. Ю. Коммерческая тайна и ее защита (часть 1) 1 164.37kb.
Что такое коммерческая тайна? 1 136.14kb.
Реферат 2001. 04. 015. Тайна: движитель и двигатель литературы: сб. 1 135.24kb.
Положение о сохранении коммерческой тайны предприятия 1 67.47kb.
Методические указания по проведению практических занятий и выполнению... 1 419.39kb.
2 Особенности шоу-бизнеса как сферы культуры и искусства 3 621.62kb.
Тайна Шекспира разгадана? Да здравствует тайна! 1 170.42kb.
Агата кристи инспектор Баттл 1-4 тайна замка чимниз убить легко тайна... 58 10688.82kb.
Банковская тайна и гарантии ее соблюдения в условиях международного... 1 98.69kb.
Направления изучения представлений о справедливости 1 202.17kb.

Коммерческая тайна - страница №1/2


Берем «рыбу» - готовим… МОДЕЛЬ УГРОЗ от Дяди Лёни

ПРИЛОЖЕНИЕ № 10

к Положению о мерах по организации защиты

ИСПДн ООО «Дядя Лёня»

КОММЕРЧЕСКАЯ ТАЙНА

Общество с ограниченной ответственностью «Дядя Лёня»

Москва, Ленинский проспект, д.180, корпус 6

Экз. № 1


УТВЕРЖДАЮ

Генеральный директор ООО «Дядя Лёня»

____________________ И.И.Иванов

«___» _____ 20___ года



ЧАСТНАЯ МОДЕЛЬ УГРОЗ

безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты»

ООО «Дядя Лёня»

город Москва 20__ год

Раздел I. ОПРЕДЕЛЕНИЯ



ОБЩЕСТВО, ТУРАГЕНТСТВО, компания, организация, предприятие

Общество с ограниченной ответственностью «Дядя Лёня» (ООО «Дядя Лёня») – оператор персональных данных - юридическое лицо, совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, операции, совершаемые с персональными данными.



ПДн

ПДн - персональные данные, - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).



Допуск

Допуск — право (возможность) субъекта доступа на получение информации и её использование. Права допуска (допуск) предоставляются Обществом по определенным правилам с соблюдением определенных процедур. Предоставленные права допуска представляют собой текстовые документы, выполненные по установленным в организации формам и правилам.



ИСПДн

ИСПДн — информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.



Комплекс ИСПДн

Комплекс ИСПДн — комплекс информационных систем персональных данных - совокупность ИСПДн Общества.



Матрица доступа

Матрица доступа — таблица (совокупность таблиц), отображающая правила разграничения доступа.



НСД

НСД — несанкционированный доступ (несанкционированные действия), доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.



Обработка ПДн

Обработка ПДн — обработка персональных данных, действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, копирование, обезличивание, блокирование, уничтожение.

Обработка ПДн с использованием средств автоматизации — это обработка ПДн в пределах ИСПДн с использованием информационных технологий и технических средств ИСПДн.

Обработка ПДн без использования средств автоматизации — это обработка ПДн, содержащихся в ИСПДн, либо извлеченных из неё, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии работником. При этом обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из неё



ТС ИСПДн

ТС ИСПДн - технические средства, позволяющие осуществлять обработку персональных данных в ИСПДн.

ТС ИСПДн — это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

СЗПДн

СЗПДн — система защиты персональных данных, это комплекс технических и(или) программных средств, необходимых и достаточных для обеспечения безопасности защищаемых ПДн, хранящихся и обрабатываемых в Обществе автоматизированным способом.

Персональные данные, выведенные из ИСПДн на бумажные и/или физические носители информации средствами СЗПДн не защищаются.

ПРД

ПРД — правила разграничения доступа, совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

В ИСПДн, использующих средства автоматизации, ПРД реализуются техническими средствами информационной системы персональных данных. ТС ИСПДн обеспечивают автоматическую и(или) автоматизированную реализацию правил доступа субъектов доступа к объектам доступа, а также автоматический контроль за соблюдением этих правил с автоматической регистрацией в электронной форме событий, происходящих при этом событий.

ПРД устанавливаются при проектировании СЗПДн и представляют собой таблицу(ы), именуемую как «Матрица доступа».



Объект внедрения

Под объектом внедрения понимается совокупность:

– ТС ИСПДн;

– помещений, в ТС ИСПДн расположены;

– технологическое оборудование этих помещений (системы электропитания, кондиционирования, пожаротушения и пр.);

– сетевая инфраструктура, обеспечивающая функционирование технических средств.



Объект доступа

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Для СЗПДн такими объек­тами являются защищаемые ПДн, технические и программные средства ИСПДн и СЗПДн.



Субъект доступа

Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.



Частная модель угроз

Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее также – Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.



Раздел II. ТЕРМИНЫ И СОКРАЩЕНИЯ

Антивирусная защита

АЗ

Автоматизированное рабочее место

АРМ

Автоматизированная система

АС

База данных

БД

Вредоносная программа

ВП

Вспомогательные системы и средства

ВСС

Демилитаризованная зона

ДМЗ

Информационная безопасность

ИБ

Информационная система

ИС

Информационная система персональных данных

ИСПДн

Контролируемая зона

КЗ

Корпоративная информационная система

КИС

Локальная вычислительная сеть

ЛВС

Межсетевой экран

МЭ

Операционная система

ОС

Персональные данные

ПДн

Программно-математическое воздействие

ПМВ

Программное обеспечение

ПО

Побочные электромагнитные излучения и наводки

ПЭМИН

Средства вычислительной техники

СВТ

Система контроля и управления доступом

СКУД

Сеть передачи данных

СПД

Система управления базами данных

СУБД

Федеральный закон

ФЗ

Федеральная служба безопасности

ФСБ России

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Центр обработки данных

ЦОД

Электронно-цифровая подпись

ЭЦП

Service Level Agreement (Соглашение об уровне предоставления услуг

SLA

Раздел III. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных данных Общества с ограниченной ответственностью «Дядя Лёня», утвержденного приказом Генерального директора № __ «___» _____ 20__ года.

2. Частная модель угроз безопасности (далее по тексту – Модель угроз) персональных данных при их обработке в информационных системах персональных данных утверждается Генеральным директором и является внутренним локальным нормативным актом Общества.


    3. Модель угроз определяет перечень угроз для ИСПДн Общества и их актуальность. Модель угроз разрабатывается на основании Отчета о результатах проведения внутренней проверки, утвержденного Генеральным директором № __ «___» _____ 20__ года.

4. Данная Модель угроз учитывается при классификации ИСПДн и используется при разработке Плана мероприятий по обеспечению защиты персональных данных в ООО «Дядя Лёня».

5. Модель угроз может быть пересмотрена:

- по решению Комиссии по персональным данным Общества на основе периодически проводимых анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений данной информационной системы;

- в случае изменения в составе и территориальном расположении ТС ИСПДн;

- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

6. Настоящая Модель угроз разработана в соответствии с требованием п.12. «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.

7. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах ПДн, является одним из необходимых мероприятий по обеспечению безопасности ПДн в информационных системах и проектирования системы защиты ПДн.

8. На основе Модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и в зависимости от класса ИСПДн осуществляется выбор и реализация методов и способов защиты информации в информационной системе, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, в составе создаваемой системы защиты персональных данных.

9. Частная модель угроз безопасности персональных данных, обрабатываемых в ИСПДн «Работники Клиенты» разработана с учетом требований следующих законодательных актов и нормативно-методических документов:

- Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных».

- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.

- Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года № 55/86/20 (далее – «Порядок проведения классификации ИСПДн»).

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная приказом ФСТЭК России 15.02.2008 года.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом ФСТЭК России 14.02.2008 года.

- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России №58 от 5 февраля 2010 года.

Раздел IV. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн, ОБРАБАТЫВАЕМЫХ



В ИСПДн «РАБОТНИКИ и КЛИЕНТЫ»

Статья 1. ИСХОДНЫЕ ДАННЫЕ ОБ ИСПДн «РАБОТНИКИ и КЛИЕНТЫ»

ИСПДн предназначена для решения задач управления персоналом, реализации уставных целей Общества, исполнения Обществом налоговых, фискальных, кредитных и иных финансовых обязательств, как перед государством, так и перед Работниками, Клиентами и контрагентами Общества.

ИСПДн представляет собой комплексную автоматизированную систему ведения на основе программного обеспечения «1С: Предприятие» бухгалтерской и хозяйственной деятельности Общества, а также кадрового учета и расчета заработной платы Работникам Общества.

Основными целями функционирования ИСПДн и обработки ПДн в частности являются:

ведение кадрового учета Работников;

ведение бухгалтерского учета Общества;

осуществление банковских проводок и платежей;

передача налоговой, статистической и иной, установленной законодательством, отчетности;

ведение базы данных партнеров и Клиентов;

оформление и редактирование заявок Клиентов для заказа турпродукта и контроль их исполнения;

учет платежей и расчетов с партнерами и Клиентами за предоставленные услуги;

подготовка пакета документов, необходимого Клиенту для совершения путешествия, - ваучер, электронный авиабилет, страховой полис, анкета для оформления визы, туристская путевка и др.;

формирование итоговых отчетов и списков для партнеров (туроператоры, отели, авиакомпании, иностранные посольства, страховые компании и т.п.);

проведение статистического анализа;

контроль забронированных/предоставленных заказов;

операции подготовки документов для оформления визы для подачи в иностранные посольства и консульства;

операции печати, контроля готовности и выдачи выходных документов.

Все объекты Общества, на которых размещены компоненты ИСПДн, находятся на территории города Москва.

ИСПДн имеет подключение к сетям общего пользования и международного обмена.

Все компоненты ИСПДн находятся на одном объекте, внутри контролируемой зоны.

Обработка персональных данных в ИСПДн ведется в многопользовательском режиме, с ограничением прав доступа.

Все технические средства ИСПДн находятся в пределах Российской Федерации.

К персональным данным предъявляются требования конфиденциальности, доступности и целостности.

При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей ИСПДн. Все пользователи разделены на группы по праву и уровню доступа: администратор ИСПДн, администратор безопасности, операторы АРМ с правом записи, операторы АРМ с правом чтения.



    Детальное описание ИСПДн, технологии обработки персональных данных в ИСПДн, а также используемых в ИСПДн мер и средств защиты, приведено в Отчете о результатах проведения внутренней проверки, утвержденного Генеральным директором «___» _____ 20__ года.

Статья 2. МОДЕЛЬ ВЕРОЯТНОГО НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ИСПДН

2.1. По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

2.2. Внешние нарушители.

В роли внешних нарушителей информационной безопасности могут выступать:



Категория нарушителя

Описание категории нарушителя

Лица, не имеющие санкционированного доступа к ИСПДн

- физические лица

- организации (в том числе конкурирующие)

- криминальные группировки


2.2.1. Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем и значимость информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на добывание информации по техническим каналам утечки.

2.2.2. Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

2.2.3. Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ (НСД) к каналам связи, выходящим за пределы служебных помещений;

осуществлять НСД через автоматизированные рабочие места, подключенные к сетям связи общего пользования;

осуществлять НСД к информации с использованием специальных программных воздействий, включая вредоносные программы и программы-закладки.

2.3. Внутренние нарушители.

Под внутренним нарушителем информационной безопасности рассматривается нарушитель, имеющий непосредственный доступ к каналам связи, техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны, на территории Российской федерации.

К внутренним нарушителям могут относиться:

Категория нарушителя

Описание категории нарушителя

Работники Общества, не имеющие санкционированного доступа к ИСПДн

Работники центрального офиса, филиалов и обособленных подразделений, не имеющие санкционированного доступа к ИСПДн.

Пользователи ИСПДн

Работники, имеющие санкционированный доступ к ИСПДн

Администраторы ППО ИСПДн

Работники информационно-технического подразделения

Администраторы локальной сети

Администраторы информационной безопасности

Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн

Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн на территории Общества.

Обслуживающий персонал Общества

Уборщицы, работники инженерно–технических служб и другие лица, выполняющие обслуживание помещений контролируемой зоны на территории Общества.

2.3.1. Возможности внутреннего нарушителя зависят от действующих в пределах контролируемой зоны защитных мер, основными из которых является реализация системы защиты персональных данных, меры по подбору, обучению и обеспечению лояльности кадров, а так же ограничивающий режим допуска физических лиц внутрь контролируемой зоны.

2.3.2. Система разграничения доступа к ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности.

2.4. С учетом всех исключений, в рамках настоящей Модели угроз предполагается, что к вероятным нарушителям ИСПДн будут относиться следующие лица:

Категория нарушителя

Описание категории нарушителя

Работники Общества, не имеющие

санкционированного доступа к ИСПДн



Работники центрального офиса, филиалов и обособленных подразделений не имеющие санкционированного доступа к ИСПДн.

Пользователи ИСПДн

Работники, имеющие санкционированный доступ к ИСПДн.

Работники сторонних организаций,

обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн



Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств

ИСПДн на территории Общества.



Обслуживающий персонал

Уборщицы, работники инженерно–технических служб и другие лица, выполняющие обслуживание помещений контролируемой зоны на территории Общества.

Лица, не имеющие санкционированного доступа к ИСПДн

- физические лица;

- организации (в том числе конкурирующие);

- криминальные группировки.


Так же в рамках данной Модели угроз предполагается, что возможность сговора внутренних нарушителей, а также внутренних и внешних нарушителей, маловероятна, ввиду принятых организационных и контролирующих мер.

Статья 3. ХАРАКТЕРИСТИКИ ПДн

1. По результатам проведенного внутреннего обследования ИСПДн Общества и на основании Отчета о результатах проведения внутренней проверки, утвержденного Генеральным директором «___» _____ 20__ года:

1.1. Категория ПДн, исходя из состава обрабатываемых персональных данных в ИСПДн относится ко 2 категории, т.е. в ней обрабатываются ПДн, позволяющие идентифицировать субъект персональных данных и получить о нем дополнительную информацию (исключая обработку персональных данных, отнесенных Федеральным законом «О персональных данных» к биометрическим данным или специальным ПДн.).

1.2. По объему обрабатываемых персональных данных, который не превышает 1000 записей о субъектах персональных данных, ИСПДн относится к 3 категории.

2. Реализация угроз НСД к ПДн, обрабатываемым в ИСПДн может приводить к следующим видам нарушения безопасности обрабатываемых ПДн:

а). Нарушению конфиденциальности1 (неправомерное распространение ПДн), которое может быть осуществлено за счет случайной утечки информации.

б). Нарушению целостности2 (уничтожение, изменение ПДн) за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную и сетевую) информацию ИСПДн. Нарушение целостности информации в ИСПДн может также быть вызвано внедрением в нее вредоносной программы, программно-аппаратной закладки или воздействием на систему защиты информации или ее элементы.

в). Нарушению доступности3 (блокирование) путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратного обеспечения или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратного обеспечения.

Учитывая данные характеристики безопасности ПДн, в соответствии с «Порядком проведения классификации ИСПДн», система является Специальной, в виду того, что в ИСПДн помимо конфиденциальности обрабатываемых ПДн, также необходимо обеспечить их целостность и доступность.

1 - Конфиденциальность, обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

2 - Целостность, способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

3 - Доступность, состояние информации (ресурсов автоматизированной информационной системы), когда субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.

Статья 4. ПОКАЗАТЕЛИ ИСХОДНОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИСПДн

4.1. Под общим уровнем защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1).

В таблице №1 представлены характеристики уровня исходной защищенности для ИСПДн.

Таблица №1



Технические и эксплуатационные характеристики

ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению:

Локальная ИСПДн, развернутая в пределах одного здания



+





2. По наличию соединения с сетями общего пользования:

ИСПДн, физически отделенная от сети общего пользования



+





3. По встроенным (легальным) операциям с записями баз персональных данных:

чтение, поиск, запись, удаление, сортировка



+





копирование, модификация, передача





+

4. По разграничению доступа к персональным данным:

ИСПДн, к которой имеют доступ определенные перечнем сотрудники Общества



+

-

-

6. По уровню обобщения (обезличивания) ПДн:

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации



-

+

-

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

ИСПДн, предоставляющая часть ПДн



-

+

-

4.2. ВЫВОД: ИСПДн имеет средний уровень исходной защищенности, так как более 70% характеристик соответствуют уровню не ниже «средний». Показатель исходной защищенности Y1=5*.

* - Исходная степень защищенности определяется следующим образом:

    ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу) (Y1= 0).

    ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности (Y1= 5).

    ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2 (Y1= 10).


Статья 5. ВЕРОЯТНОСТЬ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ПДН

5.1. Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн в складывающихся условиях обстановки.

5.2. В таблице №2 приведено описание каждой угрозы и даны обобщенные вероятности реализации угроз и оценка опасности каждой угрозы для ИСПДн.

Таблица №2



Тип угроз безопасности ПДн

Коэффициент

вероятности

реализации (Y2)*

Оценка

опасности

угрозы**

1. Угрозы от утечки по техническим каналам

1.1. Угрозы утечки акустической информации

0

маловероятная

1.2. Угрозы утечки видовой информации

0

маловероятная

1.3. Угрозы утечки информации по каналам ПЭМИН

0

маловероятная

2. Угрозы несанкционированного доступа к информации

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

0

маловероятная

2.1.2. Кража носителей информации

0

маловероятная

2.1.3. Кража ключей и атрибутов доступа

0

маловероятная

2.1.4. Кражи, модификации, уничтожения информации

0

маловероятная

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

0

маловероятная

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

0

маловероятная

2.1.7. Несанкционированное отключение средств защиты

0

маловероятная

2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

2.2.1. Действия вредоносных программ (вирусов)

2

низкая

2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных

2

низкая

2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей

0

маловероятная

2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т.п.) характера

2.3.1. Утрата ключей и атрибутов доступа

2

низкая

2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

0

маловероятная

2.3.3. Непреднамеренное отключение средств защиты

0

маловероятная

2.3.4. Выход из строя аппаратно-программных средств

0

маловероятная

2.3.5. Сбой системы электроснабжения

0

маловероятная

2.3.6. Стихийное бедствие

0

маловероятная

2.4. Угрозы преднамеренных действий внутренних нарушителей

2.4.1. Доступ к информации, копирование, модификация, уничтожение, лицами, не допущенными к ее обработке

2

низкая

2.4.2. Разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке

5

средняя

2.5.Угрозы несанкционированного доступа по каналам связи

2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

2

низкая

2.5.1.1. Перехват за переделами с контролируемой зоны

0

маловероятная

2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями

0

маловероятная

2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.

0

маловероятная

2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

2

низкая

2.5.3.Угрозы выявления паролей по сети

0

маловероятная

2.5.4.Угрозы навязывание ложного маршрута сети

0

маловероятная

2.5.5.Угрозы подмены доверенного объекта в сети

0

маловероятная

2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях

2

низкая

2.5.7.Угрозы типа «Отказ в обслуживании»

2

низкая

2.5.8.Угрозы удаленного запуска приложений

2

низкая

2.5.9.Угрозы внедрения по сети вредоносных программ

2

низкая

* - Числовой коэффициент (Y2) для оценки вероятности возникновения угрозы определяется по 4 вербальным градациям этого показателя:

маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0);

низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5);

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10).

** - Оценка опасности угрозы определяется на основе опроса специалистов по вербальным показателям опасности с тремя значениями:

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Статья 6. ОЦЕНКА ВОЗМОЖНОСТИ РЕАЛИЗАЦИИ И ОПАСНОСТИ УГРОЗ

6.1. По итогам оценки уровня защищенности (Y1) и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y будет определяться соотношением Y = (Y1 + Y2)/20.*

6.2. В таблице №3 приведено описание угрозы, дан расчетный коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы.

Таблица №3



Тип угроз безопасности ПДн

Коэффициент реализуемости угрозы (Y)

Возможность реализации

1. Угрозы от утечки по техническим каналам

1.1. Угрозы утечки акустической информации

0,25

низкая

1.2. Угрозы утечки видовой информации

0,25

низкая

1.3. Угрозы утечки информации по каналам ПЭМИН

0,25

низкая

2. Угрозы несанкционированного доступа к информации

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

0,25

низкая

2.1.2. Кража носителей информации

0,25

низкая

2.1.3. Кража ключей и атрибутов доступа

0,25

низкая

2.1.4. Кражи, модификации, уничтожения информации

0,25

низкая

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

0,25

низкая

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

0,25

низкая

2.1.7. Несанкционированное отключение средств защиты

0,25

низкая

2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

2.2.1. Действия вредоносных программ (вирусов)

0,35

средняя

2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных

0,35

средняя

2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей

0,25

низкая

2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т.п.) характера

2.3.1. Утрата ключей и атрибутов доступа

0,35

средняя

2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

0,25

низкая

2.3.3. Непреднамеренное отключение средств защиты

0,25

низкая

2.3.4. Выход из строя аппаратно-программных средств

0,25

низкая

2.3.5. Сбой системы электроснабжения

0,25

низкая

2.3.6. Стихийное бедствие

0,25

низкая

2.4. Угрозы преднамеренных действий внутренних нарушителей

2.4.1. Доступ к информации, копирование, модификация, уничтожение, лицами не допущенными к ее обработке

0,35

средняя

2.4.2. Разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке

0,5

средняя

2.5.Угрозы несанкционированного доступа по каналам связи

2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

0,35

средняя

2.5.1.1. Перехват за переделами с контролируемой зоны

0,25

низкая

2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями

0,25

низкая

2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.

0,25

низкая

2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

0,35

средняя

2.5.3.Угрозы выявления паролей по сети

0,25

низкая

2.5.4.Угрозы навязывание ложного маршрута сети

0,25

низкая

2.5.5.Угрозы подмены доверенного объекта в сети

0,25

низкая

2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях

0,35

средняя

2.5.7.Угрозы типа «Отказ в обслуживании»

0,35

средняя

2.5.8.Угрозы удаленного запуска приложений

0,25

низкая

2.5.9.Угрозы внедрения по сети вредоносных программ

0,25

низкая

* - Рассчитанный по формуле Y=(Y1+Y2)/20 коэффициент реализуемости угрозы определяется по следующим диапазонам: 0>Y>0,3 – низкая; 0,3>Y>0,6 – средняя; 0,6>Y>0,8 – высокая; Y>0,8 – очень высокая

следующая страница >>



Телеграфный столб — это хорошо отредактированное дерево.
ещё >>