Приказ

Скачать 1.41 Mb.

Название	Приказ
страница	8/10
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3 4 5 6 7 8 9 10

Внешний нарушитель относится к типу Н1. При этом, если он обладает возможностями по созданию способов и подготовки атак, аналогичными соответствующим возможностям внутреннего нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Нi.

IX. Актуальные угрозы безопасности персональных данных в информационных системах персональных данных

1. Для выявления из всего перечня угроз безопасности ПДн актуальных для ИСПДн оцениваются два показателя:

- уровень исходной защищенности ИСПДн;

- частота (вероятность) реализации рассматриваемой угрозы.

2. Уровень исходной защищенности информационной системы персональных данных

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Перечень данных характеристик и показатели защищенности ИСПДн, зависящие от них, показаны в таблице.

3. Показатели, относящиеся к «Учреждению» выделены жирным курсивом.

Для определения исходной защищенности ИСПДн должно быть рассчитано процентное соотношение каждого уровня защищенности ко всем характеристикам, имеющим место для ИСПДн.

Таблица 9.1 – Показатели исходной защищенности ИСПДн

Технические и эксплуатационные характеристики ИСПДн	Уровень защищенности
Технические и эксплуатационные характеристики ИСПДн	Высокий	Средний	Низкий
По территориальному размещению
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий

Локальная ИСПДн, развернутая в пределах одного здания
По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего пользования
ИСПДн, имеющая одноточечный выход в сеть общего пользования
ИСПДн, физически отделенная от сети общего пользования
По встроенным (легальным) операциям с записями баз ПДн
чтение, поиск
запись, удаление, сортировка
модификация, передача
По разграничению доступа к персональным данным
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн
ИСПДн с открытым доступом
По наличию соединений с другими базами ПДн иных ИСПДн
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)
ИСПДн, в которой используется одна база ПДн, принадлежащая организации –владельцу данной ИСПДн
По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.)
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
ИСПДн, предоставляющая всю базу данных с ПДн
ИСПДн, предоставляющая часть ПДн
ИСПДн, не предоставляющие никакой информации
Количество решений	1	2	1
Общее количество решений	4

1.Принимается, что ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий», а остальные уровню «средний».

В случае, если не менее 70% характеристик ИСПДн относится к уровню

«не ниже среднего», а остальные к уровню «низкий», то исходная защищенность ИСПДн будет среднего уровня.

Во всех остальных случаях ИСПДн будет иметь низкий уровень защищенности.

Исходя из критериев оценки, делаем вывод, что ИСПДн Учреждения имеет средний уровень защищенности.

5. Определение актуальных угроз безопасности персональных данных.

Для оценки уровня исходной защищенности вводится коэффициент исходной защищенности Y1, который может принимать значения:

0 – для высокой степени исходной защищенности;

5 – для средней степени исходной защищенности;

10 – для низкой степени исходной защищенности.

Следующим параметром, необходимым для определения актуальности угроз безопасности ПДн, является частота (или вероятность) реализации угрозы, под которой понимается определенный экспертным путем показатель, характеризующий вероятность реализации конкретной угрозы безопасности ПДн для ИСПДн в реальных условиях ее функционирования. Вводится четыре значения этого показателя, обозначаемого как Y2:

маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);

низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);

средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;

высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.

Данный показатель принимает следующие значения:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

Используя значения приведенных выше показателей Y1 и Y2, вычисляется коэффициент реализуемости угрозы Y, определяемый соотношением Y = (Y1+Y2)/20.

В зависимости от своего значения этот коэффициент принимает значения:

0 < Y < 0,3 – реализуемость угрозы признается низкой;

0,3 < Y < 0,6 – реализуемость угрозы признается средней;

0,6 < Y < 0,8 – реализуемость угрозы признается высокой;

Y > 0,8 – реализуемость угрозы признается очень высокой.

Далее дается оценка опасности каждой угрозы ПДн для ИСПДн. Данная оценка носит экспертный характер и получается путем опроса экспертов в области безопасности информации. Данная оценка имеет три значения:

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн;

средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов ПДн;

высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.

После просчета всех показателей производится оценка актуальности каждой угрозы безопасности ПДн при их обработке в ИСПДн исходя из матрицы, приведенная в таблице 9.2:

Таблица 9.2 – Матрица расчета актуальности угроз безопасности ПДн

Реализуемость угрозы	Показатель опасности угрозы
Реализуемость угрозы	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

На основании положений модели угроз, модели нарушителя, данных об исходной защищенности ИСПДн (Y₁), коэффициенте реализуемости угрозы (Y), вероятности ее реализации (Y₂), а также экспертной оценки опасности угрозы, определяется актуальность каждой угрозы безопасности ПДн, обрабатываемых в ИСПДн. (Таблица 9.3)

_{Таблица 9.3 – Актуальность угроз безопасности ПДн}

№ п/п	Угроза безопасности ПДн	Вероятность реализации угрозы	Коэффициент реализуемости угрозы	Оценка опасности угрозы	Оценка актуальности угрозы
	Разглашение, передача или утрата атрибутов разграничения доступа к ИСПДн	5	0,75	средняя	актуальная
	Нарушение правил хранения атрибутов разграничения доступа к ИСПДн	5	0,75	низкая	актуальная
	Несообщение о фактах утраты, компрометации атрибутов разграничения доступа к ИСПДн	10	1,0	высокая	Актуальная
	Внедрение агентов в число персонала системы	0	0,5	высокая	Актуальная
	Несанкционированный запуск технологических программ, способных при некомпетентном использовании вызывать потерю работоспособности системы или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п.)	2	0,6	высокая	актуальная
	Ввод ошибочных данных	10	1,0	низкая	Актуальная
	Действия сотрудников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств	5	0,75	высокая	Актуальная
	Игнорирование организационных ограничений (установленных правил) при работе с ПД	10	1	средняя	Актуальная
	Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов ИСПДн	0	0,5	высокая	актуальная
	Закупки несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;	0	0,5	низкая	неактуальная
	Хищение носителей информации, содержащих ПД	2	0,6	высокая	Актуальная
	То же, внешний нарушитель	2	0,6	высокая	актуальная
	Незаконное получение паролей и других реквизитов разграничения доступа к ИСПДн	5	0,75	средняя	Актуальная
	То же, внешний нарушитель	2	0,6	средняя	актуальная
	Несанкционированная модификация программного обеспечения	5	0,75	высокая	Актуальная
	То же, внешний нарушитель	2	0,6	высокая	актуальная
	Перехват ПД, передаваемых по каналам связи	0	0,5	высокая	Актуальная
	То же, внешний нарушитель	0	0,5	высокая	Актуальная
	Несанкционированное копирование носителей информации с ПД	5	0,75	средняя	Актуальная
	То же, внешний нарушитель	2	0,6	средняя	Актуальная
	Чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств	0	0,5	низкая	неактуальная
	То же, внешний нарушитель	0	0,5	низкая	неактуальная
	Непреднамеренное заражение компьютера вирусами	5	0,75	низкая	актуальная
	Преднамеренное заражение компьютера вирусами	10	1,0	низкая	актуальная
	Вмешательство в процесс функционирования ИСПДн , сетей общего пользования с целью несанкционированной модификации данных	5	0,75	высокая	актуальная
	То же, внешний нарушитель	2	0,6	высокая	актуальная
	Несанкционированное внедрение и использование неучтенных программ, не являющихся необходимыми для выполнения сотрудниками своих служебных обязанностей	10	1,0	средняя	актуальная
	То же, внешний нарушитель	5	0,75	средняя	актуальная
	Неумышленное повреждения внешних кабельных систем связи	2	0,6	низкая	неактуальная
	Возникновение пожаров в непосредственной близости к помещениям, в которых обрабатываются ПД и архивам ПД результате неисправной электропроводки, неисправных технических средств, нарушения сотрудниками правил противопожарной безопасности.	2	0,6	высокая	актуальная
	Разрушение зданий, отдельных помещений	0	0,5	высокая	актуальная
	Возникновение стихийных очагов пожаров	2	0,6	низкая	неактуальная
	Аварии в системах электропитания	5	0,75	низкая	актуальная
	Аварии в системах отопления и водоснабжения в непосредственной близости к помещениям, в которых обрабатываются ПД и архивам ПД	2	0,75	средняя	актуальная

1 2 3 4 5 6 7 8 9 10

	Приказ о назначении ответственного за пожарную безопасность в организации...		Министерство российской федерации по связи и информатизации приказ Представить в установленном порядке настоящий Приказ в Минюст России на государственную регистрацию
	Приказ от 1 декабря 2008 г. N 1048 о внесении изменений в приказ... Внести изменения в Приказ мвд россии от 15 марта 1999 г. N 190 "Об организации и проведении государственного технического осмотра...		Приказ № фб 519 от 22. 04. 2015+Приказ №фб-336 от 04. 03. 2016 (о... ...
	Приказ Приложение №1 Приложение №2 Приложение №3 Приложение №4 Приложение... Министерство Здравоохранения СССР. Приказ от 3 октября 1990г. №394. "Об утверждении положения о комплексном техническом обслуживании,...		Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня
	Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня		Приказ от 6 августа 2015 г. N 124н о внесении изменений в приказ... В целях совершенствования нормативно-правового регулирования в сфере бюджетной деятельности приказываю
	Министр здравоохранения СССР приказ Утратил силу в части порядка хранения, учета, прописывания, отпуска и применения наркотических лекарственных средств (Приказ Минздрава...		Приказ №684 от 29 мая 2009 г. Об организации медицинской помощи в... О проведении Республиканской научно-практической конференции по неотложной хирургии 11
	Приказ Минфина РФ от 23. 12. 2010 №183н «Об утверждении Плана счетов... Настоящее положение разработано в соответствии и на основании следующих нормативных актов		И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...
	И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...		Приказ №60 от 19 января 1983 года «Медицинское наблюдение за развитием... Федеральный закон «О санитарно-эпидемиологическом благополучии населения» №52-фз от 30. 03. 99
	Приказ мчс россии от 26. 03. 2010 г. №135 «О внесении изменений в... Основной государственный регистрационный номер записи о государственной регистрации юридического лица 1026700978325		Приказ мвд россии от 02. 04. 2013 n 187 "о признании утратившим силу... Перечень нормативных правовых актов умвд россии по Оренбургской области, регулирующих оперативно – служебную деятельность, сведения...

Приказ

Похожие: