Обозначения и сокращения


Скачать 2.16 Mb.
Название Обозначения и сокращения
страница 7/33
Тип Документы
rykovodstvo.ru > Руководство эксплуатация > Документы
1   2   3   4   5   6   7   8   9   10   ...   33

3 Оформление и регистрация журнала учета допуска к работе пользователей в ИСПДн с указанием логических имен пользователей, а так же перечня информационных ресурсов, к которым пользователи допущены.


Для каждой ИСПДн должны быть определены группы пользователей участвующие в обработке ПДн.

Образец журнала представлен в ПРИЛОЖЕНИИ № 8.

Пример заполнения журнала:

п/п

Группа

Уровень доступа к ПДн

Разрешенные действия

Ф.И.О. сотрудника / Логин

1.

Администраторы ИСПДн

Обладают полной информацией о системном и прикладном программном обеспечении ИСПДн.

Обладают полной информацией о технических средствах и конфигурации ИСПДн.

Имеют доступ ко всем техническим средствам обработки информации и данным ИСПДн.

Обладают правами конфигурирования и административной настройки технических средств ИСПДн.


  • сбор

  • систематизация

  • накопление

  • хранение

  • уточнение

  • использование

  • уничтожение

Иванов В. П. / Ivanov

2.

Операторы ИСПДн с правами записи

Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.

  • сбор

  • систематизация

  • накопление

  • хранение

  • уточнение

  • использование

  • уничтожение

Маршина Е. О. / Marshina

Котова И. П. / Kotova

3.

Операторы ИСПДн с правами чтения

Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн.

  • использование




Павлова К. В. / Pavlova


4 Разработка для каждой ИСПДн частной модели угроз, содержащей систематизированный перечень угроз безопасности персональных данных при их обработке в ИСПДн, а также оценку актуальности каждой из угроз


Потенциальную опасность безопасности персональных данных (далее – ПДн) при их обработке в ИСПДн представляют:

  • угрозы утечки по техническим каналам (по ПЭМИН, видовым, акустическим);

  • внешний нарушитель физические лица, не имеющие права

пребывания на территории контролируемой зоны, в пределах которой размещается оборудование Учреждения;

  • внутренний нарушитель – физические лица, имеющие право

пребывания на территории контролируемой зоны, в пределах которой размещается оборудование Учреждения.

Под уровнем исходной защищенности ИСПДн в соответствии с "Методикой определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных" (далее – Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице № 2:

Таблица 2 Технические и эксплуатационные характеристики ИСПДн













Высокий

Средний

Низкий




  1. По территориальному размещению




распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом

-

-

+




городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)

-

-

+




корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации

-

+

-




локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий

-

+

-




локальная ИСПДн, развернутая в пределах одного здания

+

-

-




  1. По наличию соединения с сетями общего пользования




ИСПДн, имеющая многоточечный выход в сеть общего пользования

-

-

+




ИСПДн, имеющая одноточечный выход в сеть общего пользования

-

+

-




ИСПДн, физически отделенная от сети общего пользования

+

-

-




  1. По встроенным (легальным) операциям с записями баз персона




чтение, поиск

+

-

-




запись, удаление, сортировка

-

+

-




модификация, передача

-

-

+




  1. По разграничению доступа к персональным данным




ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн

-

+

-




ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн

-

-

+




ИСПДн с открытым доступом

-

-

+




  1. По наличию соединений с другими базами ПДн иных ИСПДн




интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)

-

-

+




ИСПДн, в которой используется
одна база ПДн, принадлежащая организации – владельцу данной ИСПДн

+

-

-




  1. По уровню обобщения (обезличивания)




ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.)

+

-

-




ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации

-

+

-




ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

-

-

+




  1. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки




ИСПДн, предоставляющая всю базу данных
с ПДн

-

-

+




ИСПДн, предоставляющая часть ПДн

-

+

-




ИСПДн, не предоставляющая никакой информации

+

-

-







Для каждого из 6 пунктов необходимо выбрать единственный вариант, подходящий для рассматриваемой ИСПДн.

ОПРЕДЕЛЕНИЕ ИСХОДНОЙ СТЕПЕНИ ЗАЩИЩЁННОСТИ

Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (в таблице № 2 суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (в таблице № 2 берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

ОПРЕДЕЛЕНИЕ ЧИСЛОВОГО КОЭФФИЦИЕНТА ИСХОДНОЙ ЗАЩИЩЁННОСТИ

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент , а именно:

0 – для высокой степени исходной защищенности;

5 – для средней степени исходной защищенности;

10 – для низкой степени исходной защищенности.

ОПРЕДЕЛЕНИЕ ЧИСЛОВОГО КОЭФФИЦИЕНТА ВЕРОЯТНОСТИ ВОЗНИКНОВЕНИЯ УГРОЗЫ

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент , а именно:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

Y2 выбирается, исходя из оценки окружающей среды и возможности реализации угрозы:

маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением:

.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если , то возможность реализации угрозы признается низкой;

если , то возможность реализации угрозы признается средней;

если , то возможность реализации угрозы признается высокой;

если , то возможность реализации угрозы признается очень высокой.

























ПРАВИЛА ОТНЕСЕНИЯ УГРОЗЫ БЕЗОПАСНОСТИ ПДН К АКТУАЛЬНОЙ

Для каждой выявленной угрозы определяется её актуальность в соответствии с вышеописанным алгоритмом и таблицей № 3.

Таблица 3

Возможность реализации угрозы

Показатель опасности угрозы

Низкая

Средняя

Высокая

Низкая

неактуальная

неактуальная

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

Так как большинство массивов ПДн обрабатываются и хранятся на ЭВМ, то в первую очередь необходимо учесть угрозы, связанные с эксплуатацией ЭВМ.

Наиболее вероятные угрозы:

  1. Угрозы от утечки по техническим каналам:

    1. Угрозы утечки акустической информации;

    2. Угрозы утечки видовой информации;

    3. Угрозы утечки информации по каналам ПЭМИН.

  2. Угрозы несанкционированного доступа к информации:

    1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн:

      1. Кража ПЭВМ;

      2. Кража носителей информации;

      3. Кража ключей доступа;

      4. Кражи, модификации, уничтожения информации;

      5. Вывод из строя узлов ПЭВМ, каналов связи;

      6. Несанкционированное отключение средств защиты;

      7. Несанкционированное отключение средств защиты;

    2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):

      1. Действия вредоносных программ (вирусов);

      2. Установка ПО не связанного с исполнением служебных обязанностей;

    3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:

      1. Утрата ключей и атрибутов доступа;

      2. Непреднамеренная модификация (уничтожение) информации сотрудниками;

      3. Непреднамеренное отключение средств защиты;

      4. Выход из строя аппаратно-программных средств;

      5. Сбой системы электроснабжения;

      6. Стихийное бедствие;

    4. Угрозы преднамеренных действий внутренних нарушителей:

      1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке;

      2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке;

    5. Угрозы несанкционированного доступа по каналам связи:

      1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

        1. Перехват за переделами с контролируемой зоны;

        2. Перехват в пределах контролируемой зоны внешними нарушителями;

        3. Перехват в пределах контролируемой зоны внутренними нарушителями;

      2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др;

      3. Угрозы выявления паролей по сети;

      4. Угрозы навязывание ложного маршрута сети;

      5. Угрозы подмены доверенного объекта в сети;

      6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;

      7. Угрозы типа «Отказ в обслуживании»;

      8. Угрозы удаленного запуска приложений;

      9. Угрозы внедрения по сети вредоносных программ.

Актуальность определяется для каждой вышеперечисленной угрозы.

Актуальные угрозы заносятся отдельным списком в модель угроз.

Образец модели угроз – ПРИЛОЖЕНИЕ № 9.










1   2   3   4   5   6   7   8   9   10   ...   33

Похожие:

Обозначения и сокращения icon Решение задачи поиска данных
Обозначения и сокращения
Обозначения и сокращения icon Обозначения и сокращения
Региональный фрагмент единой государственной информационной системы в сфере здравоохранения
Обозначения и сокращения icon Обозначения и сокращения 6
Основные мероприятия по приведению испдн Учреждений в соответствие с фз-152 «О персональных данных» 18
Обозначения и сокращения icon Радионавигационный план российской федерации в целях настоящего положения...

Обозначения и сокращения icon Радионавигационный план российской федерации в целях настоящего положения...

Обозначения и сокращения icon Обозначения и сокращения
Существующее положение в сфере производства, передачи и потребления тепловой энергии для целей теплоснабжения
Обозначения и сокращения icon Обозначения и сокращения
Перспективные балансы производительности водоподготовительных установок и максимального потребления теплоносителя теплопотребляющими...
Обозначения и сокращения icon Основные понятия, обозначения и сокращения
Государственное образовательное учреждение высшего профессионального образования ханты-Мансийского автономного
Обозначения и сокращения icon Руководство по эксплуатации стиу. 426477. 008 Рэ
В данном техническом описании приняты следующие сокращения и условные обозначения
Обозначения и сокращения icon Обозначения и сокращения
Существующее положение в сфере производства, передачи и потребления тепловой энергии для целей теплоснабжения
Обозначения и сокращения icon Обозначения и сокращения
Существующее положение в сфере производства, передачи и потребления тепловой энергии для целей теплоснабжения
Обозначения и сокращения icon Определения, обозначения и сокращения 3
Перечень документов, на основании которых создается система, кем и когда утверждены эти документы 4
Обозначения и сокращения icon Iii. Обозначения и сокращения
В целях развития системы стандаотизации в здравоохранении Российской Федерации и управления качеством медицинской помощи
Обозначения и сокращения icon Техническое задание на организацию контрольного учета электроэнергии...
Ивкэ информационно вычислительный комплекс электроустановки (успд, концентратор и т п.)
Обозначения и сокращения icon 3 термины и определения. Сокращения и обозначения
Распечатано из V:\Общие программы и документы\Документы по исм \Организационные документы 04. 09. 2017 16: 52
Обозначения и сокращения icon Определения, обозначения и сокращения
Единый интернет-портал для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых...

Руководство, инструкция по применению




При копировании материала укажите ссылку © 2024
контакты
rykovodstvo.ru
Поиск