Модель угроз кадрового делопроизводства

Если Вам необходима помощь справочно-правового характера (у Вас сложный случай, и Вы не знаете как оформить документы, в МФЦ необоснованно требуют дополнительные бумаги и справки или вовсе отказывают), то мы предлагаем бесплатную юридическую консультацию:

  • Для жителей Москвы и МО - +7 (495) 332-37-90
  • Санкт-Петербург и Лен. область - +7 (812) 449-45-96 Доб. 640

Угрозы утечки информации по каналам побочных электромагнитных. В настоящем документе используются следующие термины и их определения:. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. Вирус компьютерный, программный — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Сохрани и опубликуй своё исследование.

.

Модель угроз кадрового делопроизводства

Угрозы утечки информации по каналам побочных электромагнитных. В настоящем документе используются следующие термины и их определения:. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус компьютерный, программный — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и или воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к информации — возможность получения информации и ее использования. Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация — присвоение субъектам и объектам доступа идентификатора и или сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, представления, распространения информации и способы осуществления таких процессов и методов. Контролируемая зона — пространство территория, здание, часть здания, помещение , в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания. Межсетевой экран — локальное однокомпонентное или функционально-распределенное программное программно-аппаратное средство комплекс , реализующее контроль за информацией, поступающей в информационную систему персональных данных и или выходящей из информационной системы.

Недекларированные возможности — функциональные возможности средств вычислительной техники и или программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Несанкционированный доступ несанкционированные действия — доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и или правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Обработка персональных данных — действия операции с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение обновление, изменение , использование, распространение в том числе передачу , обезличивание, блокирование, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и или осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Перехват информации — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу субъекту персональных данных , в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки — электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Программная закладка — скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие.

Программная закладка может быть реализована в виде вредоносной программы или программного кода. Программное программно-математическое воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. Ресурс информационной системы — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Субъект доступа субъект — лицо или процесс, действия которого регламентируются правилами разграничения доступа. Технический канал утечки информации — совокупность носителя информации средства обработки , физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Утечка защищаемой информации по техническим каналам — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уполномоченное оператором лицо — лицо, которому на основании договора оператор поручает обработку персональных данных. Целостность информации — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

При формировании настоящей Модели угроз безопасности персональных данных использовались следующие нормативно-правовые документы:. Объект информатизации. Факторы, воздействующие на информацию. Порядок создания автоматизированных систем в защищенном исполнении. В процессе ведения бухгалтерского учета и кадрового делопроизводства в учреждении формируются базы данных, содержащие следующие персональные данные:. Указанные персональные данные относятся к иным категориям персональных данных не специальным, не биометрическим, не общедоступным субъектов, являющихся работниками учреждения.

Использование средств защиты. Организация допуска на территорию контролируемой зоны в учреждении возложена на директора. Контроль за порядком допуска в помещения, расположенные на территории контролируемой зоны учреждения, возложен на директора. Контроль допуска в помещения, расположенные на территории контролируемой зоны учреждения, с применением локальной сети видеонаблюдения возложен на директора.

Перечень ресурсов ИСПДн и права доступа к ним сотрудников. В соответствии с постановлением Правительства Российской Федерации от Определение уровня защищенности информационной системы осуществляется на основе модели угроз безопасности персональных данных в соответствии с методическими документами ФСТЭК, в соответствии Постановлением Правительства Российской Федерации от Угрозы утечки акустической речевой информации.

Источником угроз утечки видовой визуальной информации являются физические лица, не имеющие санкционированного доступа к информации ИСПДн, а также технические средства просмотра, внедренные в служебные помещения или скрытно используемые данными физическими лицами. Среда распространения данного информативного сигнала - однородная воздушная. Угрозы утечки видовой визуальной информации реализуются за счет просмотра ПДн с помощью оптических оптикоэлектронных средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн.

Необходимым условием осуществления просмотра регистрации ПДн является наличие прямой видимости между указанными физическими лицами или средствами наблюдения и техническими средствами ИСПДн, на которых визуально отображаются ПДн. Перехват ПДн в ИСПДн может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них с помощью портативной носимой аппаратурой портативное фото и видеокамеры и т.

Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы КЗ в зависимости от мощности, излучений и размеров ИСПДн.

Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн, путем использования аппаратуры в составе радиоприемных устройств, предназначенной для восстановления информации. Кроме того, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз.

Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа. По наличию права постоянного или разового доступа в контролируемые зоны КЗ нарушители ИСПДн подразделяются на два типа:.

Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер зашиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ. Внешний нарушитель далее для удобства обозначения И0 не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ.

К нарушителю данного типа можно отнести физических лиц внешние субъекты, бывшие работники или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн.

К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн - обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИСПДн, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИСПДн. Зарегистрированные пользователи являются доверенными лицами и в качестве нарушителя не рассматриваются. К третьей категории внутренних потенциальных нарушителей далее И3 относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе.

Поскольку ИСПДн является локальной информационной системой, состоящей из комплексов автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа, то внутренние потенциальные нарушители третьей категории в ИСПДн отсутствуют.

К четвертой категории внутренних потенциальных нарушителей далее И4 относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента фрагмента ИСПДн. К пятой категории внутренних потенциальных нарушителей далее И5 относятся зарегистрированные пользователи ИСПДн с полномочиями системного администратора. К седьмой категории внутренних потенциальных нарушителей далее И7 относятся программисты-разработчики поставщики прикладного программного обеспечения ППО и лица, обеспечивающие его сопровождение в ИСПДн.

К восьмой категории внутренних потенциальных нарушителей далее И8 относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. На основании изложенного, в качестве источников угроз НСД необходимо рассматривать следующих нарушителей:.

Источник угроз НСД - носители вредоносных программ. Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:.

Если вредоносная программа ассоциируется с какой-либо прикладной программой, файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:.

Под уровнем исходной защищенности понимается обобщенный показатель Y 1 , зависящий от технических и эксплуатационных характеристик ИСПДн. По встроенным легальным операциям с записями баз персональных данных:.

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Числовой коэффициент Y 2 для оценки вероятности возникновения угрозы определяется по четырем вербальным градациям этого показателя:. Вероятность реализации угрозы Y2. Источник угрозы — нарушители категорий И0, И1, И7, И8. Несанкционированный доступ к информации при техническом обслуживании ремонте, уничтожении узлов ПЭВМ. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа НСД с применением программно-аппаратных и программных средств в том числе программно-математических воздействий.

Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания и стихийного ударов молний, пожаров, наводнений и т. Разглашение информации, модификация, уничтожение сотрудниками, допущенными к ее обработке. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

По итогам оценки уровня исходной защищенности Y 1 и вероятности реализации угрозы Y 2 рассчитывается коэффициент реализуемости угрозы Y и определяется возможность реализации угрозы.

Коэффициент реализуемости угрозы рассчитывается по формуле:. По значению коэффициента реализуемости угрозы Y формулируется вербальная интерпретация реализуемости угрозы следующим образом:. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания и стихийного ударов молний, пожаров, наводнений и т.

Оценка опасности угроз в ИСПДн производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:.

Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке. В соответствии с Постановлением Правительства РФ от Система защиты персональных данных включает в себя организационные и или технические меры, определенные с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны. Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам далее - АС , на которых реализованы СКЗИ и среда их функционирования. Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования.

Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ. Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения ;.

Ваш IP-адрес заблокирован.

.

.

.

.

.

.

.

.

.

.

.

Понравилась статья? Поделиться с друзьями:
Комментариев: 0
  1. Пока нет комментариев...

Добавить комментарий

Отправляя комментарий, вы даете согласие на сбор и обработку персональных данных