Приказ

Скачать 1.41 Mb.

Название	Приказ
страница	7/10
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3 4 5 6 7 8 9 10

- Стихийные источники угроз безопасности ПДн

Стихийные источники угроз отличается большим разнообразием и непредсказуемостью и являются, как правило, внешними по отношению к Учреждению. Под ними, прежде всего, рассматриваются различные природные катаклизмы: пожары, землетрясения, ураганы, наводнения. Возникновение этих источников трудно спрогнозировать и им тяжело противодействовать, но при наступлении подобных событий нарушается штатное функционирование самой ИСПДн и ее средств защиты, что потенциально может привести к нарушению конфиденциальности, целостности, доступности и других характеристик безопасности ПДн.

Защита от угроз, исходящих от техногенных и стихийных источников угроз безопасности ПДн, регламентируется инструкциями, разработанными и утвержденными оператором с учетом особенностей эксплуатации ИСПДн.

VIII. Модель нарушителя безопасности персональных данных

1. Анализ возможностей, которыми может обладать нарушитель, проводится в рамках модели нарушителя.

При разработке модели нарушителя зафиксированы следующие положения:

- Безопасность ПДн в ИСПДн обеспечивается средствами защиты информации ИСПДн, а также используемыми в них информационными технологиями, техническими и программными средствами, удовлетворяющими требованиям по защите информации, устанавливаемым в соответствии с законодательством Российской Федерации;

- Средства защиты информации (СЗИ) штатно функционируют совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к СЗИ требований;

- СЗИ не могут обеспечить защиту ПДн от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗИ не может обеспечить защиту ПДн от раскрытия лицами, которым предоставлено право на доступ к этим данным).

2 .Описание нарушителей.

С точки зрения наличия права постоянного или разового доступа в контролируемую зону (КЗ) объектов размещения ИСПДн все физические лица могут быть отнесены к следующим двум категориям:

- категория I – лица, не имеющие права доступа в контролируемую зону ИСПДн;

- категория II – лица, имеющие право доступа в контролируемую зону ИСПДн.

Все потенциальные нарушители подразделяются на:

- внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн;

- внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн.

В качестве внешнего нарушителя кроме лиц категории I должны рассматриваться также лица категории II, находящиеся за пределами КЗ.

В отношении ИСПДн в качестве внешнего нарушителями из числа лиц категории I могут выступать:

- бывшие сотрудники «Учреждения»;

- посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;

- представители преступных организаций.

Внешний нарушитель может осуществлять:

- перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;

- деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;

- несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;

- перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно- техническими мерами;

- атаки на ИСПДн путем реализации угроз удаленного доступа.

Внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн.

-К первой группе относятся сотрудники «Учреждения», не являющиеся зарегистрированными пользователями и не допущенные к ИР ИСПДн, но имеющие санкционированный доступ в КЗ.

Лицо данной группы может:

- располагать именами и вести выявление паролей зарегистрированных пользователей ИСПДн;

- изменять конфигурацию технических средств обработки ПДн, вносить программно-аппаратные закладки в ПТС ИСПДн и обеспечивать съем информации, используя непосредственное подключение к техническим средствам обработки информации.

- Ко второй группе относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ИР ИСПДн с рабочего места. К этой категории относятся сотрудники «Учреждения», имеющие право доступа к локальным ИР ИСПДн для выполнения своих должностных обязанностей.

Лицо данной группы:

- обладает всеми возможностями лиц первой категории;

- знает, по меньшей мере, одно легальное имя доступа;

- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающим доступ к ИР ИСПДн;

- располагает ПДн, к которым имеет доступ.

- К третьей группе относятся зарегистрированные пользователи подсистем ИСПДн, осуществляющие удаленный доступ к ПДн по локальной _се_т_и «Учреждения»_.

Лицо данной группы:

- обладает всеми возможностями лиц второй категории;

- располагает информацией о топологии сети ИСПДн и составе технических средств ИСПДн;

- имеет возможность прямого (физического) доступа к отдельным техническим средствам (ТС) ИСПДн.

- К четвертой группе относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн.

Лицо данной группы:

- обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте ИСПДн;

- обладает полной информацией о технических средствах и конфигурации сегмента ИСПДн;

- имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте ИСПДн;

- имеет доступ ко всем техническим средствам сегмента ИСПДн;

- обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента ИСПДн.

-К пятой группе относятся зарегистрированные пользователи с полномочиями системного администратора, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, резервного копирования, антивирусного контроля, защиты от несанкционированного доступа.

Лицо данной группы:

- обладает полной информацией о системном, специальном и прикладном ПО, используемом в ИСПДн;

_{- обладает полной информацией о ТС и конфигурации ИСПДн}

- имеет доступ ко всем ТС ИСПДн и данным;

- обладает правами конфигурирования и административной настройки ТС ИСПДн.

-К шестой группе относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности «Учреждения», отвечающего за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей, криптографическую защиту информации. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

Лицо данной группы:

- обладает полной информацией об ИСПДн;

- имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

- не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

- К седьмой группе относятся лица из числа программистов - разработчиков сторонней организации, являющихся поставщиками ПО и лица, обеспечивающие его сопровождение на объекте размещения ИСПДн.

Лицо данной группы:

- обладает информацией об алгоритмах и программах обработки информации в ИСПДн;

- обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в ПО ИСПДн на стадии его разработки, внедрения и сопровождения;

- может располагать любыми фрагментами информации о ТС обработки и защиты информации в ИСПДн.

-К восьмой группе относятся персонал, обслуживающий ТС ИСПДн, а также лица, обеспечивающие поставку, сопровождение и ремонт ТС ИСПДн.

_{Лицо данной группы:}

- обладает возможностями внесения закладок в ТС ИСПДн на стадии их разработки, внедрения и сопровождения;

- может располагать фрагментами информации о топологии ИСПДн, автоматизированных рабочих местах, серверах и коммуникационном оборудовании, а также о ТС защиты информации в ИСПДн.

3. Предположения о возможностях нарушителя.

Для получения исходных данных о ИСПДн нарушитель (как I категории, так и II категории) может осуществлять перехват зашифрованной информации и иных данных, передаваемых по каналам связи сетям общего пользования и (или) сетям международного информационного обмена, а также по локальным сетям ИСПДн.

Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления.

Предполагается, что возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объектов размещения ИСПДн ограничительных факторов, из которых основными являются режимные мероприятия и организационно-технические меры, направленные на:

- предотвращение и пресечение несанкционированных действий;

- подбор и расстановку кадров;

- допуск физических лиц в контролируемую зону и к средства вычислительной техники;

- контроль за порядком проведения работ.

В силу этого внутренний нарушитель не имеет возможности получения специальных знаний о ИСПДн в объеме, необходимом для решения вопросов создания и преодоления средств защиты ПДн, и исключается его возможность по созданию и применению специальных программно-технических средств реализации целенаправленных воздействий данного нарушителя на подлежащие защите объекты и он может осуществлять попытки несанкционированного доступа к ИР с использованием только штатных программно-технических средств ИСПДн без нарушения их целостности.

Возможность сговора внутренних нарушителей между собой, сговора внутреннего нарушителя с персоналом организаций-разработчиков подсистем ИСПДн, а также сговора внутреннего и внешнего нарушителей должна быть исключена применением организационно-технических и кадрово-режимных мер, действующих на объектах размещения ИСПДн.

4. Предположения об имеющихся у нарушителя средствах атак

Предполагается, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства.

Внешний нарушитель (лица категории I, а также лица категории II при нахождении за пределами КЗ) может использовать следующие средства доступа к защищаемой информации:

- доступные в свободной продаже аппаратные средства и программное обеспечение, в том числе программные и аппаратные компоненты криптосредств;

- специально разработанные технические средства и программное обеспечение;

- средства перехвата и анализа информационных потоков в каналах связи;

- специальные технические средства перехвата информации по ТКУИ;

- штатные средства ИСПДн (только в случае их расположения за пределами КЗ).

Внутренний нарушитель для доступа к защищаемой информации, содержащей ПДн, может использовать только штатные средства ИСПДн. При этом его возможности по использованию штатных средств зависят от реализованных в ИСПДн организационно-технических и режимных мер.

5. Описание каналов атак.

Возможными каналами атак, которые может использовать нарушитель для доступа к защищаемой информации в ИСПДн, являются:

- каналы непосредственного доступа к объекту (визуально-оптический, акустический, физический);

- электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления;

- бумажные носители информации;

- штатные программно-аппаратные средства ИСПДн;

- кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами;

- незащищенные каналы связи; ТКУИ.

6. Тип нарушителя при использовании в ИСПДн криптографических средств защиты информации

При обмене информацией между ИСПДн и внешними по отношению к предприятию информационными системами необходимо использование средств криптографической защиты информации (СКЗИ).

Уровень криптографической защиты персональных данных, обеспечиваемой СКЗИ, определяется путем отнесения нарушителя, действиям которого должно противостоять СКЗИ, к конкретному типу, и базируется на подходах, описанных в «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

Тип нарушителя и класс СКЗИ должен определяться в соответствии с таблицей

_{Таблица – Соответствие типов нарушителя и класса СКЗИ}

Группа внутреннего нарушителя	Тип нарушителя	Класс СКЗИ
Группа 1	^Н2	КС2
Группа 2	^Н3	КС3
Группа 3	^Н3	КС3
Группа 4	^Н3	КС3
Группа 5	^Н3	КС3
Группа 6	^Н3	КС3
Группа 7	^Н5	КВ2
Группа 8	^Н4	КВ1

1 2 3 4 5 6 7 8 9 10

	Приказ о назначении ответственного за пожарную безопасность в организации...		Министерство российской федерации по связи и информатизации приказ Представить в установленном порядке настоящий Приказ в Минюст России на государственную регистрацию
	Приказ от 1 декабря 2008 г. N 1048 о внесении изменений в приказ... Внести изменения в Приказ мвд россии от 15 марта 1999 г. N 190 "Об организации и проведении государственного технического осмотра...		Приказ № фб 519 от 22. 04. 2015+Приказ №фб-336 от 04. 03. 2016 (о... ...
	Приказ Приложение №1 Приложение №2 Приложение №3 Приложение №4 Приложение... Министерство Здравоохранения СССР. Приказ от 3 октября 1990г. №394. "Об утверждении положения о комплексном техническом обслуживании,...		Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня
	Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня		Приказ от 6 августа 2015 г. N 124н о внесении изменений в приказ... В целях совершенствования нормативно-правового регулирования в сфере бюджетной деятельности приказываю
	Министр здравоохранения СССР приказ Утратил силу в части порядка хранения, учета, прописывания, отпуска и применения наркотических лекарственных средств (Приказ Минздрава...		Приказ №684 от 29 мая 2009 г. Об организации медицинской помощи в... О проведении Республиканской научно-практической конференции по неотложной хирургии 11
	Приказ Минфина РФ от 23. 12. 2010 №183н «Об утверждении Плана счетов... Настоящее положение разработано в соответствии и на основании следующих нормативных актов		И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...
	И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...		Приказ №60 от 19 января 1983 года «Медицинское наблюдение за развитием... Федеральный закон «О санитарно-эпидемиологическом благополучии населения» №52-фз от 30. 03. 99
	Приказ мчс россии от 26. 03. 2010 г. №135 «О внесении изменений в... Основной государственный регистрационный номер записи о государственной регистрации юридического лица 1026700978325		Приказ мвд россии от 02. 04. 2013 n 187 "о признании утратившим силу... Перечень нормативных правовых актов умвд россии по Оренбургской области, регулирующих оперативно – служебную деятельность, сведения...

Приказ

Похожие: