Vladivostok, 201_
Označenia a skratky. 3
Zákazník a dodávateľ. 4
1. Všeobecné ustanovenia. 5
2. Popis informačného systému .. 7
3. Popis hrozieb Systém Naim 8
3.1. Model votrelca. osem
3.2. Všeobecné možnosti zdrojov útoku systémov Naim 13
3.3. Relevantnosť využitia schopností narušiteľa a smerov útokov. 16
3.4. Popis možných zraniteľností v NAIM SYSTEMS 22
3.5. Hrozby informačnej bezpečnosti NAIM SYSTEMS 25
3.5.1. Hrozby úniku cez technické kanály .. 26
3.5.2. Hrozby neoprávneného prístupu k osobným údajom v SYSTÉMOCH NAIM 29
3.6. Určenie relevantnosti hrozieb informačnej bezpečnosti NAIM SYSTEMS 73
3.6.1. Počiatočná úroveň zabezpečenia. 73
3.6.2. Algoritmus na určenie aktuálneho UBI .. 74
3.6.3. Relevantnosť UBI .. 75
3.6.4. Zoznam skutočných hrozieb. 83
Zdroje rozvoja. 87
Skratky a skratky
| AWP | Pracovná stanica |
| AS | Hardvér |
| VTSS | Pomocný hardvér a systémy |
| IP | Informačný systém |
| KZ | Kontrolovaná oblasť |
| NSD | Nepovolený prístup |
| OS | Operačný systém |
| PD | Osobné informácie |
| ON | softvér |
| PEMIN | Falošné elektromagnetické žiarenie a rušenie |
| SVT | Výpočtové zariadenie |
| SZI | Nástroj informačnej bezpečnosti |
| SKZI | Kryptografický systém ochrany informácií |
| SF | Operačné prostredie |
| UBI | Ohrozenie informačnej bezpečnosti |
| FSB | Federálna bezpečnostná služba |
| FSTEC | Federálna služba pre technickú a exportnú kontrolu |
Zákazník a dodávateľ
Adresa: adresa org.
Dodávateľom je: Spoločnosť s ručením obmedzeným „Information Security Systems“ (skrátený názov – LLC „SIB“).
Adresa: 630009, Novosibirsk, ul. Dobrolyubova, 16.
Všeobecné ustanovenia
Tento model definuje aktuálne ohrozenia bezpečnosti údajov pri ich spracovaní v informačnom systéme Naimorg skrátene a mal by byť použitý pri špecifikácii požiadaviek na systém informačnej bezpečnosti zadaného informačného systému.
Tento model hrozby bol vyvinutý na základe údajov Analytickej správy o prieskume štátneho informačného systému „Naimsist“ Ministerstva školstva a vedy Prímorského územia a Databanky hrozieb informačnej bezpečnosti FSTEC Ruska.
Na vytvorenie modelu hrozby pre skratku GIS Naimorg boli použité nasledujúce regulačné a metodické dokumenty a normy:
1. Federálny zákon z 27. júla 2006 č. 149-FZ „o informáciách, informačných technológiách a ochrane informácií“;
3. Príkaz FSTEC Ruska zo dňa 11.02.2013 č. 17 „O schválení požiadaviek na ochranu informácií, ktoré nepredstavujú štátne tajomstvo obsiahnutých v štátnych informačných systémoch“;
4. Nariadenie vlády Ruskej federácie z 1. novembra 2012 č. 1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“;
5. Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov (Schválený zástupcom riaditeľa FSTEC Ruska 15. februára 2008);
6. Smernice pre tvorbu regulačných právnych aktov, ktoré určujú ohrozenia bezpečnosti osobných údajov informácií, relevantných pri spracúvaní osobných údajov, informačných systémov osobných údajov prevádzkovaných pri výkone príslušných činností, schválených vedením 8. strediska hl. FSB Ruska dňa 31. marca 2015 č. 149/7/2 / 6-432;
7. Rozkaz FSB Ruska z 10.07. 2014 č. 378 „O schválení Zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov s použitím nástrojov ochrany kryptografických informácií potrebných na splnenie požiadaviek stanovených vládou Ruskej federácie na ochranu osobných údajov pre každú z úrovní zabezpečenia“ (registrované na Ministerstve spravodlivosti Ruska dňa 18. augusta 2014, č. 33620);
8. Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov (Schválená zástupcom riaditeľa FSTEC Ruska dňa 14. februára 2008).
Model hrozby je vytvorený a schválený operátorom a môže byť revidovaný:
· Na základe rozhodnutia prevádzkovateľa na základe jeho pravidelnej analýzy a hodnotenia ohrozenia bezpečnosti údajov s prihliadnutím na vlastnosti a (alebo) zmeny v konkrétnom informačnom systéme;
· Na základe výsledkov opatrení kontrolovať dodržiavanie požiadaviek na zaistenie bezpečnosti údajov pri ich spracúvaní v informačnom systéme.
Princípy tvorby modelu hrozby:
· Bezpečnosť chránených informácií v IS je zabezpečená pomocou systému informačnej bezpečnosti;
· Chránené informácie sa spracúvajú a ukladajú v IS pomocou určitých informačných technológií a technických prostriedkov, ktoré generujú objekty ochrany rôznej úrovne, útoky na ktoré vytvárajú priame a nepriame ohrozenia chránených informácií;
· Systém ochrany údajov nemôže zabezpečiť ochranu informácií pred úkonmi vykonávanými v rámci právomocí udelených subjektu.
Model ohrozenia poskytuje popis IS a jeho štrukturálnych a funkčných charakteristík, zloženie a režim spracovania chránených informácií, definíciu úrovne bezpečnosti IS, popis hrozieb informačnej bezpečnosti.
Opisy hrozieb informačnej bezpečnosti zahŕňajú:
· Popis schopností páchateľa (model páchateľa);
· Popis možných zraniteľností IP;
· Spôsoby implementácie hrozieb;
· Posúdenie pravdepodobnosti (možnosti) implementácie hrozieb;
· Posúdenie miery a druhu škôd z realizácie hrozieb;
· Určenie relevantnosti UBI.
Popis informačného systému
Systém je informačný systém klient-server. MSQL-2008 sa používa ako DBMS v NAIM SYSTEMS. Technicky je serverová časť tohto informačného systému umiestnená na serveri pod kontrolou MSQL v Naim org.
Klientske časti sa nachádzajú na pracovisku zamestnancov spoločnosti Naimorg short.
Prilepiť zo služby Analytics
Popis hrozieb NAIM SYSTEMS Skratka organizácie Naim
Model votrelca
Zdroje hrozieb NSD v IS môžu byť:
· Votrelec;
· Nosič škodlivého programu;
· Záložka Hardvér.
Porušovateľom bezpečnosti OÚ sa rozumie fyzická osoba, ktorá sa pri spracúvaní technickými prostriedkami v informačných systémoch náhodne alebo úmyselne dopustí konania, ktoré má za následok narušenie bezpečnosti OÚ.
V Naimorgu možno skratku všetkých porušovateľov klasifikovať nasledovne - podľa prítomnosti práva na trvalý alebo jednorazový prístup do KZ.
Podľa tejto klasifikácie sú rozdelené do dvoch typov:
· Porušovatelia, ktorí nemajú prístup do KZ, realizujúci hrozby z vonkajších verejných komunikačných sietí a (alebo) sietí medzinárodnej výmeny informácií - externí narušovatelia;
· Porušovatelia s prístupom do KZ a (alebo) údajov uložených v IS - interní porušovatelia;
Vonkajšími porušovateľmi pri implementácii hrozieb pre informačnú bezpečnosť pri znižovaní IS Naimorg môžu byť:
· Zločinecké štruktúry;
· Bezohľadní partneri;
· Vonkajší aktéri (jednotlivci).
Externý narušiteľ má nasledujúce možnosti:
· vykonávať neoprávnenú komunikáciu na komunikačné kanály, ktoré presahujú priestory kancelárie;
· vykonávať neoprávnenú komunikáciu prostredníctvom AWP pripojených k verejným komunikačným sieťam a (alebo) sieťam medzinárodnej výmeny informácií;
· Vykonávať neoprávnený prístup k informáciám pomocou špeciálnych softvérových akcií pomocou softvérových vírusov, malvéru, algoritmov alebo záložiek softvéru;
· implementovať NSD prostredníctvom prvkov informačnej infraštruktúry IS, ktoré sú v priebehu svojho životného cyklu (modernizácia, údržba, oprava, likvidácia) mimo KZ;
· Implementovať NSD prostredníctvom IS interagujúcich rezortov, organizácií a inštitúcií, keď sú napojené na IS.
Schopnosti vnútorného porušovateľa zásadne závisia od režimu a organizačných a technických ochranných opatrení platných v rámci skratu, vrátane prístupu fyzických osôb k osobným údajom a kontroly pracovného postupu.
Interní potenciálni porušovatelia sú rozdelení do ôsmich kategórií v závislosti od spôsobu prístupu a oprávnenia na prístup k PD.
TO prvá kategória (I1) zahŕňa osoby, ktoré majú autorizovaný prístup k IP, ale nemajú prístup k PD. Tento typ porušovateľov zahŕňa úradníkov, ktorí zabezpečujú normálne fungovanie IS.
· mať prístup k fragmentom informácií obsahujúcich osobné údaje a šírených prostredníctvom interných komunikačných kanálov IS;
· mať útržky informácií o topológii IS (komunikačná časť podsiete) ao používaných komunikačných protokoloch a ich službách;
· mať mená a vykonávať identifikáciu hesiel registrovaných používateľov;
· Zmeniť konfiguráciu technických prostriedkov IP, pridať k nim softvérové a hardvérové karty a zabezpečiť vyhľadávanie informácií pomocou priameho pripojenia k technickým prostriedkom IP.
· Má všetky schopnosti osôb prvej kategórie;
· Pozná aspoň jedno legálne prístupové meno;
· Má všetky potrebné atribúty (napríklad heslo), ktoré poskytujú prístup k určitej podskupine PD;
· Má dôverné údaje, ku ktorým má prístup.
· Má všetky schopnosti osôb prvej a druhej kategórie;
· má informácie o topológii IS založenej na lokálnych a distribuovaných informačných systémoch, prostredníctvom ktorých poskytuje prístup, a o zložení technických prostriedkov IS;
· Má schopnosť priameho (fyzického) prístupu k fragmentom technických prostriedkov IS.
· má úplné informácie o použitom systéme a aplikačnom softvéri v - segmente (fragmente) IS;
· má úplné informácie o technických prostriedkoch a konfigurácii segmentu (fragmentu) IS;
· Má prístup k nástrojom informačnej bezpečnosti a protokolovania, ako aj k jednotlivým prvkom používaným v segmente IP (fragment);
· Má prístup ku všetkým technickým prostriedkom segmentu IP (fragment);
· Má práva konfigurovať a spravovať určitú podmnožinu technických prostriedkov segmentu (fragmentu) IS.
· Má všetky schopnosti osôb predchádzajúcich kategórií;
· Má kompletné informácie o systémovom a aplikačnom softvéri IS;
· má úplné informácie o technických prostriedkoch a konfigurácii IS;
· má prístup ku všetkým technickým prostriedkom spracovania informácií pomocou údajov IS;
· Má práva konfigurovať a spravovať technické prostriedky IS.
· Má všetky schopnosti osôb predchádzajúcich kategórií;
· Má úplné informácie o IP;
· má prístup k nástrojom informačnej bezpečnosti a protokolovania ak niektorým kľúčovým prvkom IS;
· Nemá prístupové práva na konfiguráciu technických prostriedkov siete s výnimkou kontroly (kontroly).
· disponuje informáciami o algoritmoch a programoch na spracovanie informácií v IS;
· má schopnosť vnášať chyby, nedeklarované funkcie, softvérové chyby, škodlivé programy do softvéru IS v štádiu jeho vývoja, implementácie a údržby;
· Môže mať akékoľvek informácie o topológii IS a technických prostriedkoch spracovania a ochrany údajov spracúvaných v IS.
· Má možnosť pridávať záložky do technických prostriedkov IS v štádiu ich vývoja, implementácie a údržby;
· Môže mať akékoľvek informácie o topológii IS a technických prostriedkoch spracovania a ochrany informácií v IS.
Nasledujúca tabuľka poskytuje konsolidovaný zoznam interných potenciálnych porušovateľov a ich prítomnosť v skratke NAimorg:
Tabuľka 3.1.1.
Porušovatelia kategórií I5 a I6 sú vylúčení z počtu potenciálnych narušiteľov informačnej bezpečnosti Naimorgu. Títo používatelia vykonávajú údržbu všeobecných systémových prostriedkov IS aj špeciálnych prostriedkov ochrany informácií, vrátane ich nastavenia, konfigurácie, distribúcie hesiel a kľúčovej dokumentácie medzi používateľmi, preto sú menovaní z radov najdôveryhodnejších a najdôveryhodnejších osôb. Majú plný prístup ku všetkým sieťovým nastaveniam a podsystémom informačnej bezpečnosti v prípade potreby ich obnovy, aktualizácie systémov atď. (keďže na vykonávanie určitých činností musia mať možnosť vypnúť informačný bezpečnostný systém). Efektívnosť celého systému informačnej bezpečnosti závisí od konania týchto používateľov, preto by bolo nevhodné inštalovať proti nim ochranné systémy, pre jeho zložitosť a nízku efektivitu. Zároveň je potrebné mať na pamäti, že kontrola činnosti privilegovaných používateľov a hodnotenie ich efektívnosti sa vykonáva v rámci posudzovania zhody IS s bezpečnostnými požiadavkami pri certifikácii a inšpekciách zo strany dozorných orgánov, ako aj orgánmi činnými v trestnom konaní.
Potenciálni porušovatelia informačnej bezpečnosti v Naimorg teda akceptujú:
1. Vonkajší páchatelia;
Relevantnosť UBI
Pre každú hrozbu sa vypočítal faktor realizovateľnosti hrozby a určil sa indikátor nebezpečenstva hrozby.
Moderný systém informačnej bezpečnosti by mal byť vybudovaný na základe kombinácie rôznych ochranných opatrení a opierať sa o moderné metódy predpovedania, analýzy a modelovania možných hrozieb pre informačnú bezpečnosť a dôsledkov ich implementácie.
Výsledky simulácie sú určené na výber adekvátnych optimálnych metód boja proti hrozbám.
Ako zostaviť konkrétny model ohrozenia bezpečnosti informačného systému
Vo fáze modelovania sa vykonáva štúdia a analýza existujúcej situácie a identifikujú sa skutočné hrozby pre bezpečnosť CHÚ ako súčasť ISPD. Pre každý identifikovaný ISPD sa vypracuje vlastný model hrozby.
Model ohrozenia bezpečnosti informačného systému je zostavený v súlade s požiadavkami federálneho zákona z 27. júla 2006, č. 152-FZ „O osobných údajoch“. Okrem toho možno použiť metodické dokumenty FSTEC Ruska: „Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v ISPD“, „Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní“. spracovanie v ISPD“.
Východiskovým podkladom pre posúdenie a rozbor sú spravidla materiály „Zákona o inšpekcii“, výsledky dotazníkového prieskumu zamestnancov rôznych oddelení a služieb, metodické dokumenty FSTEC a pod.
Konkrétny model ohrozenia bezpečnosti informačného systému musí schváliť vedúci organizácie alebo komisia na základe správy o výsledkoch interného auditu.
Model ohrozenia môže vytvoriť úradník pre ochranu údajov organizácie alebo externí experti. Vývojári modelu hrozby musia mať úplné informácie o informačnom systéme osobných údajov, poznať regulačný rámec ochrany informácií.
Obsah modelu bezpečnostného ohrozenia informačného systému
Model bezpečnostných hrozieb ISPDN odráža:
- Priamo ohrozenia bezpečnosti osobných údajov. Pri spracúvaní osobných údajov v ISPDN možno rozlíšiť tieto hrozby: vytvorené narušiteľom (jednotlivcom), vytvorené hardvérovou kartou, vytvorené malvérom, hrozby špeciálnych akcií na ISPD, hrozby elektromagnetického vplyvu na ISPD, hrozby informácií únik cez technické kanály atď.
- Zdroje hrozieb pre ISPDN. Možné zdroje hrozieb pre ISPDN môžu byť: externý narušiteľ, interný narušiteľ, karta softvéru a hardvéru alebo škodlivý program.
- Všeobecné charakteristiky zraniteľností ISPDN. Obsahuje informácie o hlavných skupinách zraniteľností ISPDN a ich charakteristikách, ako aj informácie o príčinách zraniteľností.
- Použité nástroje informačnej bezpečnosti. Pre každý ISPD sa musia určiť potrebné opatrenia na zníženie nebezpečenstva skutočných hrozieb.
Ak chcete stiahnuť súkromný model bezpečnostných hrozieb informačného systému pre konkrétny podnik, odpovedzte na objasňujúce otázky a zadajte údaje do šablóny.
Model hrozby informačnej bezpečnosti ISPDN
Rovnako ako metodické dokumenty FSTEC Ruska:
- „Základný model ohrozenia bezpečnosti osobných údajov počas ich spracovania v ISPDN“
- "Metodika zisťovania aktuálnych hrozieb pre bezpečnosť osobných údajov pri ich spracúvaní v ISPD"
Počiatočné údaje
Počiatočné údaje pre hodnotenie a analýzu sú:
Materiály „Aktu o kontrole“;
Výsledky dotazovania zamestnancov rôznych oddelení a útvarov;
metodické dokumenty FSTEC;
- požiadavky nariadenia vlády;
Popis prístupu k modelovaniu hrozieb pre bezpečnosť osobných údajov
2.1.
Model bezpečnostnej hrozby bol vyvinutý na základe metodických dokumentov FSTEC:
Na základe „Základného modelu ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v ISPD“ bola vykonaná klasifikácia bezpečnostných hrozieb a zostavený zoznam bezpečnostných hrozieb.
Na základe zostaveného zoznamu ohrození bezpečnosti PD v rámci ISPDN pomocou „Metodiky zisťovania aktuálnych ohrození bezpečnosti PD pri ich spracovaní v ISPDN“ bol vytvorený model ohrozenia bezpečnosti PD ako súčasť ISPDN ACS bola vybudovaná a boli identifikované skutočné hrozby.
2.2.
Súčasným ohrozením bezpečnosti osobných údajov sa rozumie súhrn podmienok a faktorov, ktoré vytvárajú skutočné nebezpečenstvo neoprávneného, vrátane náhodného, prístupu k osobným údajom pri ich spracúvaní v informačnom systéme, ktoré môže mať za následok zničenie, zmenu, blokovanie, kopírovanie, poskytovanie, šírenie osobných údajov, ako aj iné protiprávne konania.
2.3.
Hrozby 1. typu sú pre informačný systém relevantné, ak sú preň okrem iného relevantné hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systémovom softvéri používanom v informačnom systéme.
2.4.
Hrozby 2. typu sú pre informačný systém relevantné, ak sú preň okrem iného relevantné hrozby spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v aplikačnom softvéri používanom v informačnom systéme.
2.5.
Hrozby 3. typu sú pre informačný systém relevantné, ak sú preň relevantné hrozby, ktoré nie sú spojené s prítomnosťou nezdokumentovaných (nedeklarovaných) schopností v systéme a aplikačnom softvéri používanom v informačnom systéme.
Model ohrozenia
3.1.
Klasifikácia hrozieb pre bezpečnosť osobných údajov
Pri spracúvaní osobných údajov v ISPDN možno rozlíšiť nasledovné hrozby:
| № | Názov hrozby | Popis hrozby | Pravdepodobnosť výskytu | Možnosť implementácie hrozby |
3.2.
Zdroje hrozieb pre ISPDN
Zdroje hrozieb v ISPDN môžu byť:
| № | Názov zdroja hrozieb | Všeobecná charakteristika zdroja ohrozenia |
Rozpočtová inštitúcia Čuvašskej republiky
"Komplexné centrum sociálnych služieb Yadrinsky pre obyvateľstvo"
Ministerstvo práce a sociálnej ochrany
Čuvašská republika
Schválené objednávkou
BU "Yadrinsky KTSSON"
Ministerstvo práce Čuvašska
Model ohrozenia bezpečnosti osobných údajov
pri ich spracovaní v informačnom systéme
osobné údaje "Účtovníctvo a ľudské zdroje"
Yadrin 2018
Symboly a skratky 4
Termíny a definície 4
Úvod 6
- Popis informačného systému osobných údajov
"Účtovníctvo a personál" BU "Yadrinsky KTSSON" Ministerstvo práce Chuvashia 7
1.1 Charakteristika predmetov ochrany 7
"Účtovníctvo a personál" BU "BU" Yadrinsky KTSSON "Ministerstvo práce Chuvashia 8
1.3 Používanie ochranných prostriedkov 8
1.4 Model fungovania ISPDN „Účtovníctvo a personalistika
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 9
1.5 Kontrolované oblasti BU "Yadrinsky KTSSON" Ministerstva práce Čuvašska 10
"Účtovníctvo a personál" BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 10
- Štrukturálne a funkčné charakteristiky ISPDN "Účtovníctvo a personál"
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 12
- Chránené zdroje ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON"
- Ministerstvo práce Čuvašska 12
- Hlavné bezpečnostné hrozby ISPDN "Účtovníctvo a personál"
- BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 13
4.1. Kanály úniku informácií 13
4.1.1. Hrozby úniku akustických (rečových) informácií 13
4. 13
4.1.3. Hrozby úniku informácií cez sekundárne elektromagnetické kanály
emisie a rušenie (PEMIN) 14
4.2 Hrozby neoprávneného prístupu k ISPDN "Účtovníctvo a personál"
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 14
4.3. Zdroje hrozieb neoprávneného prístupu k ISPDN „Účtovníctvo a
Personál „BU“ Yadrinsky KTSSON „Ministerstvo práce Čuvašska 15
4.3.1. Zdrojom vyhrážok NSD je páchateľ 15
4.3.2. Zdroj hrozieb UA – nositelia škodlivých programov 17
5. Model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v
informačný systém osobných údajov "Účtovníctvo a personalistika"
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 17
5.1. Stanovenie úrovne počiatočného zabezpečenia ISPDN „Účtovníctvo a personál“ 18
5.2. Určenie pravdepodobnosti implementácie hrozieb v ISPDN "Účtovníctvo a personál"
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 19
BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska 21
BU "Yadrinsky KTSSON" ministerstva práce Čuvašska 23
5.5. Určenie relevantnosti hrozieb v ISPDN 24
6. Model porušovateľa ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON"
Ministerstvo práce Čuvašska 26
6.1. Popis páchateľov (zdrojov útokov) 33
6.2. Určenie typu narušiteľa ISPDN BU "Yadrinsky KTSSON"
Ministerstvo práce Čuvašska 34
6.3. Úroveň kryptografickej ochrany PD v ISPDN 34
Záver 34
Skratky a skratky
ВТСС - pomocné technické komunikačné prostriedky
ISPDN - informačný systém osobných údajov
KZ - kontrolované oblasti
ME - firewall
NDV – nedeklarované príležitosti
NSD - neoprávnený prístup
OS - operačný systém
OTSS - základné technické prostriedky komunikácie
PD – osobné údaje
PPO - aplikačný softvér
PEMIN - rušivé elektromagnetické žiarenie a rušenie
PMV - softvérový a matematický vplyv
SZPDN - systém ochrany osobných údajov
CIPF - prostriedok ochrany kryptografických informácií
SF - prostredie pre fungovanie systému ochrany kryptografických informácií
Иi - zdroje bezpečnostných hrozieb i-tej kategórie (i = 0,1 ..., 8), kde И0 - externé
páchateľ, I1, ..., I8 - interní páchatelia podľa klasifikácie FSTEC
FSB Ruska - Federálna bezpečnostná služba Ruskej federácie
FSTEC Ruska - Federálna služba pre technickú a exportnú kontrolu
Pojmy a definície
V tomto dokumente sa používajú nasledujúce pojmy a ich definície:
Blokovanie osobných údajov- dočasné zastavenie zhromažďovania, systematizácie, zhromažďovania, používania, šírenia osobných údajov vrátane ich prenosu.
Vírus (počítač, softvér) - spustiteľný programový kód alebo interpretovaný súbor inštrukcií, ktorý má vlastnosti neoprávnenej distribúcie a vlastnej reprodukcie. Vytvorené duplikáty počítačového vírusu sa nie vždy zhodujú s originálom, ale zachovávajú si schopnosť ďalšieho šírenia a množenia.
Škodlivý program- program určený na realizáciu neoprávneného prístupu a (alebo) ovplyvnenia osobných údajov alebo zdrojov informačného systému osobných údajov.
Pomocný hardvér a systémy- technické prostriedky a systémy, ktoré nie sú určené na prenos, spracúvanie a uchovávanie osobných údajov, inštalované spolu s technickými prostriedkami a systémami na spracúvanie osobných údajov alebo v priestoroch, v ktorých sú inštalované informačné systémy osobných údajov.
Prístup k informáciám- schopnosť získavať informácie a využívať ich.
Chránené informácie- informácie, ktoré sú predmetom vlastníctva a podliehajú ochrane v súlade s požiadavkami právnych dokumentov alebo požiadavkami stanovenými vlastníkom informácií.
Identifikácia- pridelenie identifikátora subjektom a objektom prístupu a (alebo) porovnanie prezentovaného identifikátora so zoznamom pridelených identifikátorov.
Informačný systém osobných údajov - informačný systém, ktorý je súborom osobných údajov obsiahnutých v databáze, ako aj informačné technológie a technické prostriedky, ktoré umožňujú spracúvanie týchto osobných údajov pomocou nástrojov automatizácie alebo bez použitia takýchto prostriedkov.
Informačné technológie- procesy, metódy vyhľadávania, zhromažďovania, uchovávania, spracovania, prezentácie, šírenia informácií a spôsoby implementácie takýchto procesov a metód.
Kontrolovaná oblasť- priestor (územie, budova, časť budovy, miestnosť), v ktorom je vylúčená nekontrolovaná prítomnosť nepovolaných osôb, ako aj dopravné, technické a iné vecné prostriedky.
Dôvernosť osobných údajov- povinná požiadavka, aby prevádzkovateľ alebo iná osoba, ktorá získala prístup k osobným údajom, zabránila ich šíreniu bez súhlasu subjektu osobných údajov alebo iného právneho dôvodu.
POŽARNE dvere- lokálny (jednozložkový) alebo funkčne distribuovaný softvérový (softvérový a hardvérový) nástroj (komplex), ktorý realizuje kontrolu informácií vstupujúcich do informačného systému osobných údajov a (alebo) vystupujúcich z informačného systému.
Nedeklarované príležitosti- funkčné možnosti počítačového vybavenia a (alebo) softvéru, ktoré nie sú popísané alebo nezodpovedajú tým, ktoré sú popísané v dokumentácii, ktorých použitie môže narušiť dôvernosť, dostupnosť alebo integritu spracúvaných informácií.
Neoprávnený prístup (neoprávnené akcie)- prístup k informáciám alebo akcie s informáciami vykonávané v rozpore so stanovenými právami a (alebo) pravidlami prístupu k informáciám alebo akcie s nimi pomocou štandardných prostriedkov informačného systému alebo prostriedkov im podobných z hľadiska ich funkčného účelu a technických vlastností.
Spracúvanie osobných údajov- úkony (operácie) s osobnými údajmi vrátane zhromažďovania, systematizácie, zhromažďovania, uchovávania, spresňovania (aktualizácie, zmeny), používania, distribúcie (vrátane prenosu), depersonalizácie, blokovania, likvidácie osobných údajov.
Operátor- štátny orgán, orgán obce, právnická osoba alebo fyzická osoba, ktorá organizuje a (alebo) vykonáva spracúvanie osobných údajov, ako aj určuje účely a obsah spracúvania osobných údajov.
Odpočúvanie (informácie)- nezákonný príjem informácií pomocou technického nástroja, ktorý zisťuje, prijíma a spracováva informačné signály.
Osobné informácie- akékoľvek informácie týkajúce sa konkrétneho alebo na základe takýchto údajov určeného jednotlivca (subjekt osobných údajov), vrátane jeho priezviska, mena, rodného priezviska, dátumu a miesta narodenia, adresy, rodiny, sociálneho, majetkového stavu, vzdelania , povolanie, príjem , iné informácie.
Falošné elektromagnetické žiarenie a rušenie- elektromagnetické žiarenie technických prostriedkov spracovania chránených informácií, vznikajúce ako vedľajší účinok a spôsobené elektrickými signálmi pôsobiacimi v ich elektrických a magnetických obvodoch, ako aj elektromagnetickou indukciou týchto signálov na vodivých vedeniach, konštrukciách a silových obvodoch.
Pravidlá kontroly prístupu- súbor pravidiel upravujúcich prístupové práva subjektov prístupu k objektom prístupu.
Záložka programu- funkčný objekt skryto vložený do softvéru, ktorý je za určitých podmienok schopný neoprávnene ovplyvňovať softvér. Záložka softvéru môže byť implementovaná ako škodlivý program alebo programový kód.
Programový (softvérový a matematický) vplyv- neoprávnený zásah do zdrojov automatizovaného informačného systému, uskutočnený s použitím škodlivých programov.
Zdroj informačného systému- pomenovaný prvok systému, aplikácie alebo hardvéru pre fungovanie informačného systému.
Počítačové vybavenie- súbor softvérových a technických prvkov systémov na spracovanie údajov schopných fungovať samostatne alebo ako súčasť iných systémov.
Predmet prístupu (predmet)- osoba alebo proces, ktorého konanie sa riadi pravidlami kontroly prístupu.
Technické prostriedky informačného systému osobných údajov- počítačové vybavenie, informačné a výpočtové komplexy a siete, prostriedky a systémy na prenos, príjem a spracovanie osobných údajov (prostriedky a systémy na záznam zvuku, ozvučenie, reprodukciu zvuku, interkomy a televízne zariadenia, výrobné prostriedky, rozmnožovanie dokumentov a iné technické prostriedky na spracovanie rečových, grafických, video a alfanumerických informácií), softvér (operačné systémy, systémy správy databáz atď.), nástroje informačnej bezpečnosti.
Technický kanál úniku informácií- súhrn nosiča informácií (prostriedok na spracovanie), fyzického média na šírenie informačného signálu a prostriedkov, ktorými sa získajú chránené informácie.
Ohrozenie bezpečnosti osobných údajov- súbor podmienok a faktorov, ktoré vytvárajú nebezpečenstvo neoprávneného, vrátane náhodného, prístupu k osobným údajom, ktorý môže mať za následok zničenie, úpravu, blokovanie, kopírovanie, šírenie osobných údajov, ako aj iné neoprávnené úkony pri ich spracúvaní v informačného systému osobných údajov.
Zničenie osobných údajov- úkony, v dôsledku ktorých nie je možné obnoviť obsah osobných údajov v informačnom systéme osobných údajov alebo v dôsledku ktorých dochádza k likvidácii hmotných nosičov osobných údajov.
Únik (chránených) informácií cez technické kanály- nekontrolované šírenie informácií od nosiča chránených informácií fyzickým prostredím do technického prostriedku, ktorý zachytáva informácie.
Osoba poverená prevádzkovateľom- osoba, ktorú prevádzkovateľ na základe zmluvy poverí spracúvaním osobných údajov.
Integrita informácií- stav informácií, v ktorom nedošlo k žiadnej zmene alebo zmenu vykonajú len zámerne subjekty, ktoré na to majú právo.
Úvod
Tento dokument predstavuje model ohrozenia informačnej bezpečnosti (zoznam hrozieb) a model narušiteľa (predpoklady o schopnostiach narušiteľa, ktoré môže použiť na vývoj a vykonávanie útokov, ako aj obmedzenia týchto schopností) na vytvorenie informačný bezpečnostný systém (SIS) informačného systému osobných údajov "Účtovníctvo a personál" BU "Yadrinsky KTSSON" Ministerstvo práce Čuvašska.
Model ohrozenia bol vyvinutý v súlade s „Metodikou zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracovaní v informačných systémoch osobných údajov“, schválenou zástupcom riaditeľa FSTEC Ruska dňa 14. februára 2008 na základe tzv. "Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov" Schválený zástupcom riaditeľa FSTEC Ruska dňa 15.02.2008.
Pri vytváraní tohto modelu ohrozenia bezpečnosti osobných údajov boli použité nasledujúce regulačné dokumenty:
federálny zákon č. 149-FZ z 27. júla 2006 „o informáciách, informačných technológiách a ochrane informácií“;
federálny zákon z 27.07.2006 č. 152-FZ „o osobných údajoch“;
Nariadenie vlády Ruskej federácie zo dňa 1.11.2012 č. 1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“;
Nariadenie FSTEC Ruska zo dňa 18.2.2013 č. 21 „O schválení zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“;
Predpisy o vývoji, výrobe, implementácii a prevádzke šifrovacích (kryptografických) prostriedkov ochrany informácií (Nariadenia PKZ-2005), schválené nariadením FSB Ruska zo dňa 09.02.2005 č. 66;
Základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov schválený zástupcom riaditeľa FSTEC Ruska dňa 15. februára 2008;
Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov schválená zástupcom riaditeľa FSTEC Ruska dňa 2.14.2008;
Metodické odporúčania pre vypracovanie regulačných právnych aktov, ktoré určujú ohrozenia bezpečnosti osobných údajov, relevantné pri spracúvaní osobných údajov v informačných systémoch osobných údajov prevádzkovaných pri vykonávaní príslušných činností, schválené vedením 8. centra FSB Ruska 31.03.2015 č. 149/7/2 / 6- 432;
GOST R 50922-2006 „Bezpečnosť informácií. Základné pojmy a definície ";
GOST R 51275-2006 „Bezpečnosť informácií. Predmet informatizácie. Faktory ovplyvňujúce informácie. Všeobecné ustanovenia ";
GOST R 51583-2014 „Bezpečnosť informácií. Postup pri vytváraní automatizovaných systémov v chránenom dizajne. Všeobecné ustanovenia ".
1. Popis informačného systému osobných údajovBU "Yadrinsky KTSSON" ministerstva práce Čuvašska
1.1 Charakteristika predmety ochranu
Informačný systém osobných údajov "Účtovníctvo a personál" BU "Yadrinsky KTSSON" Ministerstva práce Čuvašska má tieto vlastnosti:
- názov ISPDn - "Účtovníctvo a personál";
- umiestnenie ISPDn - BU "Yadrinsky KTSSON" Ministerstva práce Čuvašska (ďalej len "inštitúcia");
- adresa organizácie je Čuvašská republika, Yadrin, st. 30 rokov víťazstva, 29
- štruktúra ISPDn - softvér na automatizáciu účtovníctva "1C: Účtovníctvo štátnej inštitúcie 8" (výrobca LLC "Softekhno"); softvér "KRB: Mzdy pre rozpočtové inštitúcie. Verzia 3.5" (vyrába Kamin-Soft LLC), SBiS ++: Systém elektronického výkazníctva a správy dokumentov (vyrába Tensor Company LLC).
V procese vedenia účtovníctva a personálnej evidencie v inštitúcii sa vytvárajú databázy obsahujúce tieto osobné údaje:
Dátum narodenia;
Miesto narodenia;
informácie o zmene celého mena;
občianstvo;
registračná adresa a miesto bydliska;
rodinný stav, informácie o závislých osobách, zloženie rodiny;
telefónne číslo;
údaje o doklade totožnosti (séria, číslo, kedy a kým bol vydaný);
informácie o vzdelávaní;
informácie o menovaní a pohybe;
informácie o zamestnaní
informácie o oceneniach a stimuloch;
informácie o poslednom pracovisku (profesia, priemerná mzda, dátum prepustenia, dôvod prepustenia, podnik);
informácie o stave vo vojenskom registri;
informácie o pobyte v zahraničí;
špeciálne zručnosti a vlastnosti;
informácie o práceneschopnosti a prerušení;
informácie o dovolenkách (ročných, neplatených) a náhradách;
informácie o platbách náhrady za dovolenku;
informácie o členstve v odborovej organizácii;
číslo účtu;
číslo bežného účtu.
Uvedené osobné údaje sa vzťahujú na iné kategórie osobných údajov (nie špeciálne, biometrické, verejne nedostupné) subjektov, ktoré sú zamestnancami inštitúcie.
1.3.Použitie finančných prostriedkov ochranu
V súčasnosti sa v ISPDN „Účtovníctvo a personál“ inštitúcie používajú tieto prostriedky ochrany:
Softvérový produkt "Kaspersky Internet security", bez certifikátu FSTEC Ruska
Štandardné systémy hesiel OS s prenosom prihlasovacích údajov a hesiel v rámci lokálnej siete - na identifikáciu a autentifikáciu používateľov pri prístupe k pracovným staniciam a serverom, vrátane tých, ktoré sú určené na spracovanie a ukladanie chránených informácií.
V ISPDN „Účtovníctvo a personál“ inštitúcie sú implementované tieto organizačné ochranné opatrenia:
Stanovuje sa spracovaná PD a predmety ochrany;
Je určený okruh osôb podieľajúcich sa na spracovaní OÚ;
Definované práva diferenciácie prístupu používateľov ISPD, potrebné na plnenie služobných povinností;
Boli vymenovaní zodpovední za zabezpečenie bezpečnosti PD;
Bola schválená Koncepcia informačnej bezpečnosti;
Politika informačnej bezpečnosti bola schválená;
Bol zorganizovaný režim prístupu a ochrany priestorov, v ktorých je inštalovaný hardvér ISPD;
Organizované informovanie a školenia zamestnancov o postupe pri spracúvaní osobných údajov;
Boli vykonané zmeny v pracovnom poriadku zamestnancov o postupe pri spracúvaní osobných údajov a zabezpečovaní zavedeného režimu ochrany;
Bol vypracovaný návod na postup v prípade núdzových situácií;
Organizované účtovníctvo technických prostriedkov a ochranných prostriedkov, ako aj dokumentácia k nim;
Dodané v súlade s požiadavkami izbových regulátorov s hardvérom ISPDn;
Inštalované systémy neprerušiteľného napájania pre všetky kľúčové prvky ISPDN;
Zaviedol záložný systém pre kľúčové prvky ISPD;
Uskutočnilo sa školenie zodpovedných zamestnancov s využitím technických prostriedkov ochrany informácií.
1.4. Model fungovania ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" Ministerstva práce Čuvašska
1.5. Kontrolované oblastiBU "Komplexné centrum Yadrinsky pre sociálne služby pre obyvateľstvo" Ministerstva práce Čuvašskej republiky
Hranice kontrolovanej oblasti priestorov, v ktorých sa nachádza informačný systém osobných údajov „Účtovníctvo a ľudské zdroje“ inštitúcie:
Organizáciou vstupu na územie kontrolovaného pásma v ústave je poverený riaditeľ.
Riadením postupu prijímania do priestorov nachádzajúcich sa na území kontrolovaného pásma inštitúcie je poverený riaditeľ.
Riadenie prístupu do priestorov nachádzajúcich sa na území kontrolovaného priestoru inštitúcie pomocou lokálnej video monitorovacej siete je zverené riaditeľovi.
Autorizačný systém prijímania (matica prístupu) do ISPD „Účtovníctvo a personál“ inštitúcie bol schválený v súlade s úrovňami oprávnenia zamestnancov na prístup k zdrojom ISPD:
. správca- má plné prístupové práva ku všetkým zdrojom ISPD (prezeranie, tlač, úprava, pridávanie, mazanie informácií, kopírovanie informácií na účtované externé médiá, inštalácia a konfigurácia softvéru a hardvéru);
. Používateľ- má obmedzené prístupové práva k zdrojom ISPD, nemá práva na inštaláciu a konfiguráciu softvéru a hardvéru.
Zoznam zdrojov ISPD a prístupových práv k nim pre zamestnancov
v závislosti od úrovne autority.
|
Názov zdroja |
||
|
Zaúčtované interné médiá: |
||
|
Pevný magnetický disk databázy ISPDN, všetky katalógy |
||
|
Pevný magnetický disk databázy ISPDN, katalóg databáz |
||
|
Pevný magnetický disk pracoviska zamestnanca, všetky katalógy |
||
|
Pevný magnetický disk pracoviska zamestnanca, osobný katalóg |
||
|
Uvažované externé médiá: |
||
|
Flexibilné magnetické disky |
||
|
CD/DVD kompaktné disky |
||
|
Flash disky |
||
|
Prenosné pevné disky |
||
|
Externé zariadenia na čítanie/zápis médií: |
||
|
Disketové mechaniky |
||
|
CD/DVD mechaniky |
||
|
Periférne vybavenie: |
||
|
Tlačiarne |
||
Legenda:
"A" - správca;
"P" - užívateľ;
"AWP" - automatizovaná pracovná stanica;
"+" - plné prístupové práva;
"-" - obmedzené prístupové práva.
Okrem toho sú vo vzťahu k ISPDN „Účtovníctvo a personál“ inštitúcie pridelené osoby, ktoré nemajú prístup do kontrolovanej oblasti, v ktorej sa nachádza softvér a hardvér, a ktorí nie sú registrovanými používateľmi ani technickým personálom, ale ktorí mať oprávnený prístup k externým komunikačným a informačným zdrojom mimo KZ:
- špecialisti technickej podpory poskytovateľov;
- špecialisti na telefónnu sieť (automatická telefónna ústredňa);
- špecialisti na zariadenia HVAC;
- elektrikári;
- hasiči;
- strážcovia zákona.
Vo vzťahu k ISPDN „Účtovníctvo a personál“ inštitúcie sú tiež pridelené osoby, ktoré nemajú prístup do kontrolovanej oblasti, v ktorej sa nachádza softvér a hardvér, a ktorí nie sú registrovanými používateľmi alebo technickým personálom a nemajú autorizovaný prístup k externým komunikačným a informačným zdrojom mimo KZ.
2. Štrukturálne a funkčné charakteristiky ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Stanovenie štrukturálnych a funkčných charakteristík ISPD "Účtovníctvo a personál" inštitúcie sa vykonáva s cieľom stanoviť metódy a metódy ochrany potrebné na zabezpečenie bezpečnosti PD.
ISPD "Účtovníctvo a personál" inštitúcie je informačný systém osobných údajov a podlieha ochrane v súlade s požiadavkami ISPD o ochrane informácií pri ich spracúvaní v informačných systémoch osobných údajov.
V súlade s nariadením vlády Ruskej federácie zo dňa 01.11.2012 č.1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ a metodickými dokumentmi FSTEC sú nasledovné štrukturálne a funkčné charakteristiky ISPDN "Účtovníctvo a personál" sú určené:
Typ informačného systému podľa kategórie OÚ - ISPD je informačný systém, ktorý spracúva iné kategórie osobných údajov (nie je špeciálny, nie je biometrický, nie je verejne dostupný);
Typ informačného systému podľa kategórie subjektov - ISPDN je informačný systém, ktorý spracúva osobné údaje zamestnancov prevádzkovateľa;
Objem súčasne spracúvaných osobných údajov v ISPD (počet subjektov OÚ) - informačný systém súčasne spracúva údaje menej ako 100 000 subjektov osobných údajov;
Štruktúra informačného systému - ISPDN je lokálny informačný systém pozostávajúci z komplexov automatizovaných pracovísk, združených do jedného informačného systému prostredníctvom komunikácie bez použitia technológie vzdialeného prístupu;
Dostupnosť pripojení k verejným komunikačným sieťam a (alebo) sieťam medzinárodnej výmeny informácií - ISPDN, ktorý má pripojenia;
Režim spracovania osobných údajov – ISPDN je viacužívateľský
Vymedzenie prístupu používateľov do informačného systému - ISPDN je systém s vymedzením prístupových práv;
Lokalita – všetky technické prostriedky ISPDN sa nachádzajú v rámci Ruskej federácie.
Stanovenie úrovne bezpečnosti informačného systému sa vykonáva na základe modelu ohrozenia bezpečnosti osobných údajov v súlade s metodickými dokumentmi FSTEC, v súlade s nariadením vlády Ruskej federácie zo dňa 1.11. .2012 č. 1119 "O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov."
3. Chránené zdroje ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
ISPDn „Účtovníctvo a personál“ inštitúcie je súborom informácií a hardvérových a softvérových prvkov.
Hlavné prvky ISPDN „Účtovníctvo a ľudské zdroje“ sú:
- osobné údaje obsiahnuté v databázach;
- informačné technológie, ako súbor techník, metód a metód využitia výpočtovej techniky pri spracovaní PD;
- technické prostriedky ISPDN „Účtovníctvo a personál“, vykonávajúce spracovanie osobných údajov (výpočtová technika (SVT), informačné a výpočtové systémy a siete, prostriedky a systémy na prenos, príjem a spracovanie osobných údajov);
- softvér (operačné systémy, DBMS, aplikačný softvér);
- nástroje informačnej bezpečnosti (SZI);
- pomocné technické prostriedky a systémy (VTSS) (technické prostriedky a systémy, ich komunikácie, nie sú určené na spracovanie PD, ale nachádzajú sa v priestoroch, v ktorých sa nachádzajú technické prostriedky ISPDN „Účtovníctvo a personál“, ako napr. výpočtová technika, zabezpečovacie prostriedky a systémy a systémy požiarnej signalizácie, klimatizačné prostriedky a systémy, elektronické kancelárske vybavenie, telefóny atď.).
- nosiče chránených informácií používaných v informačnom systéme v procese kryptografickej ochrany osobných údajov, nosiče kľúčov, hesiel a autentifikačných informácií systému ochrany kryptografických informácií a postup ich prístupu;
- priestory, v ktorých sa nachádzajú zdroje ISPDN „Účtovníctvo a personalistika“, ktoré súvisia s kryptografickou ochranou osobných údajov.
4. Hlavné hrozby pre bezpečnosť ISPDN "Účtovníctvo a personál"BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
4.1. Kanály úniku informácií
Pri spracúvaní PD v ISPDN môže dôjsť k ohrozeniu bezpečnosti osobných údajov (UBPDn) z dôvodu implementácie nasledujúcich kanálov úniku informácií:
- hrozby úniku akustických (rečových) informácií;
- hrozby úniku (vizuálnych) informácií o druhoch;
- hrozby úniku informácií cez kanály PEMIN.
4.1.1. Hrozby úniku akustických (rečových) informácií
Vznik hrozieb úniku akustických (rečových) informácií obsiahnutých priamo v hovorenom prejave užívateľa ISPD pri spracovaní PD v ISPD je spôsobený prítomnosťou funkcií hlasového vstupu PD v ISPD alebo funkcií reprodukovania PD zo strany akustické prostriedky ISPD.
4.1.2. Hrozby úniku informácií o druhoch
Zdrojom hrozieb úniku špecifických (vizuálnych) informácií sú fyzické osoby, ktoré nemajú oprávnenie na prístup k informáciám ISPDN, ako aj technické prostriedky na prezeranie, vnesené do kancelárskych priestorov alebo nimi tajne používané.
Prostredie šírenia tohto informatívneho signálu je homogénne (vzduch).
Hrozby úniku druhovej (vizuálnej) informácie sa realizujú prezeraním PD pomocou optických (optoelektronických) prostriedkov z obrazoviek a iných prostriedkov zobrazovania SVT, ktoré sú súčasťou ISPD.
Predpokladom na prezeranie (registráciu) PD je prítomnosť zorného poľa medzi určenými osobami alebo sledovacím zariadením a technickými prostriedkami ISPD, na ktorých je PD vizuálne zobrazená.
Odpočúvanie OÚ v ISPDN môžu fyzické osoby vykonávať počas nekontrolovaného pobytu v kancelárskych priestoroch alebo v ich bezprostrednej blízkosti pomocou prenosných nositeľných zariadení (prenosné fotoaparáty a videokamery a pod.), prenosných alebo stacionárnych zariadení, ako aj priame osobné pozorovanie v kancelárskych priestoroch alebo pomocou technických prostriedkov prezerania, tajne zabudovaných v kancelárskych priestoroch.
4.1.3. Hrozby úniku informácií cez kanály falošného elektromagnetického žiarenia a interferencie (PEMIN)
Zdrojom hrozieb úniku informácií cez kanály PEMIN sú jednotlivci, ktorí nemajú autorizovaný prístup k informáciám ISPD.
Vznik hrozby úniku PD cez kanály PEMIN je možný z dôvodu zachytenia sekundárnych (nevzťahujúcich sa na priamu funkčnú hodnotu prvkov ISPD) informatívnych elektromagnetických polí a elektrických signálov vznikajúcich pri spracovaní PD technickými prostriedkami ISPD technickými prostriedkami. .
Generovanie informácií obsahujúcich PD a cirkulujúcich v technických prostriedkoch ISPD vo forme elektrických informačných signálov, spracovanie a prenos týchto signálov v elektrických obvodoch technických prostriedkov ISPD je sprevádzané rušivým elektromagnetickým žiarením, ktoré môže šíri mimo skratu v závislosti od výkonu, žiarenia a rozmerov ISPD.
Registrácia PEMIN sa vykonáva s cieľom zachytiť informácie obiehajúce v technických prostriedkoch vykonávajúcich spracovanie PD s využitím zariadení ako súčasti rádiových prijímačov určených na obnovu informácií. Okrem toho je odpočúvanie PEMIN možné pomocou elektronických zariadení na zachytenie informácií napojených na komunikačné kanály alebo technické prostriedky spracovania PD („hardvérové karty“).
4.2. Hrozby neoprávneného prístupu k ISPDN "Účtovníctvo a personál"BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Pre ISPDN "Účtovníctvo a personál" sa berú do úvahy nasledujúce typy ohrozenia UAN s použitím softvéru a softvéru a hardvéru, ktoré sú implementované pri neoprávnenom, vrátane náhodného prístupu, v dôsledku čoho dochádza k dôvernosti (kopírovanie, neoprávnená distribúcia), integrita (zničenie, zmeny) a dostupnosť (blokovanie) PD a zahŕňajú:
- hrozby prístupu (penetrácie) do operačného prostredia počítača pomocou štandardného softvéru (nástroje operačného systému alebo všeobecné aplikačné programy);
- hrozba vytvorenia abnormálnych prevádzkových režimov softvéru (softvéru a hardvéru) v dôsledku úmyselných zmien v servisných údajoch, ignorovanie obmedzení zloženia a charakteristík spracovávaných informácií stanovených v štandardných podmienkach, skreslenie (úprava) samotných údajov atď .;
- hrozby zavlečenia škodlivých programov (softvérový a matematický dopad).
Okrem toho sú možné kombinované hrozby, ktoré sú kombináciou týchto hrozieb. Napríklad zavedením škodlivých programov môžu byť vytvorené podmienky pre neoprávnený prístup do operačného prostredia počítača, a to aj prostredníctvom vytvorenia netradičných informačných kanálov.
4.3. Zdroje hrozieb neoprávneného prístupu k ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Zdroje ohrozenia NSD v ISPDN môžu byť:
- votrelec;
- nosič škodlivého programu;
- hardvérová záložka.
4.3.1. Zdrojom vyhrážok NSD je páchateľ
Na základe práva na trvalý alebo jednorazový vstup do kontrolovaných oblastí (KZ) sa porušovatelia ISPD delia na dva typy:
Externí páchatelia - páchatelia, ktorí nemajú prístup k ISPD, realizujúci hrozby zvonku skratu;
Vnútorní páchatelia - porušovatelia, ktorí majú prístup do KZ k ISPD, vrátane používateľov ISPD.
Schopnosti vonkajších a vnútorných páchateľov výrazne závisia od režimu a organizačných a technických ochranných opatrení platných v rámci skratu, vrátane prístupu fyzických osôb k osobným údajom a kontroly pracovného postupu.
Externý narušiteľ (ďalej pre pohodlie označenia I0) nemá priamy prístup k systémom a zdrojom ISPDN nachádzajúcim sa v skrate. Porušovateľa tohto typu možno pripísať jednotlivcom (externým aktérom, bývalým zamestnancom) alebo organizáciám, ktoré vykonávajú útoky s cieľom získať osobné údaje, ukladajú nepravdivé informácie, narúšajú výkon ISPD, porušujú integritu osobných údajov.
Vnútorní páchatelia sú osoby, ktoré majú prístup do KZ a do ISPD, vrátane používateľov ISPD, ktorí hrozby realizujú priamo v ISPD.
Vnútorní potenciálni porušovatelia v ISPD podľa klasifikácie FSTEC Ruska sú rozdelení do ôsmich kategórií v závislosti od spôsobu prístupu a oprávnenia na prístup k PD.
Do prvej kategórie (ďalej I1) patria osoby, ktoré majú autorizovaný prístup k ISPD, ale nemajú prístup k PD. Tento typ porušovateľa zahŕňa úradníkov, ktorí zabezpečujú normálne fungovanie ÚOOZ - obslužný personál vykonávajúci práce v priestoroch, v ktorých sa nachádzajú technické prostriedky ÚOOZ, zamestnanci, ktorí majú prístup do priestorov, v ktorých sú technické prostriedky ÚOOÚ. Nachádza.
Do druhej kategórie interných potenciálnych porušovateľov (ďalej I2) patria registrovaní používatelia ISPD, ktorí majú obmedzený prístup k zdrojom ISPD z pracoviska - oprávnení používatelia ISPD, ktorí spracúvajú PD. Táto kategória porušovateľov zahŕňa registrovaných používateľov ISPDN „Účtovníctvo a personál“, zamestnanci inštitúcie. Registrovaní používatelia sú dôveryhodné osoby a nebudú považovaní za páchateľov. Preto neexistujú žiadni interní potenciálni porušovatelia druhej kategórie v ISPDN „Účtovníctvo a personál“.
Do tretej kategórie interných potenciálnych porušovateľov (ďalej len I3) patria registrovaní používatelia ISPD, ktorí poskytujú vzdialený prístup k PD prostredníctvom distribuovaného informačného systému. Keďže ISPDN je lokálny informačný systém, ktorý pozostáva z komplexov automatizovaných pracovných staníc, združených do jedného informačného systému prostredníctvom komunikácie bez použitia technológie vzdialeného prístupu, neexistujú v ISPDN žiadni vnútorní potenciálni porušovatelia tretej kategórie.
Štvrtá kategória interných potenciálnych narušiteľov (ďalej I4) zahŕňa registrovaných používateľov ISPDN s oprávnením bezpečnostného správcu pre segment (fragment) ISPD. Registrovaní používatelia ISPDN „Účtovníctvo a personál“ s právomocami bezpečnostného správcu sú dôveryhodnými osobami a nepovažujú sa za porušovateľov. Preto neexistujú žiadni interní potenciálni porušovatelia štvrtej kategórie v ISPDN „Účtovníctvo a personál“.
Piata kategória interných potenciálnych porušovateľov (ďalej I5) zahŕňa registrovaných používateľov ISPD s právomocami správcu systému. Registrovaní používatelia ISPD "Účtovníctvo a personál" s poverením správcu systému ISPD sú dôveryhodnými osobami a nie sú považovaní za porušovateľov. Preto v ISPDN „Účtovníctvo a personál“ neexistujú žiadni interní potenciálni porušovatelia piatej kategórie.
Do šiestej kategórie interných potenciálnych porušovateľov (ďalej I6) patria registrovaní používatelia ISPD s oprávnením bezpečnostného správcu ISPD. Registrovaní používatelia ISPDN „Účtovníctvo a personál“ s poverením bezpečnostného správcu ISPDN „Účtovníctvo a personál“ sú dôveryhodnými osobami a nie sú považovaní za porušovateľov. Preto v ISPDN „Účtovníctvo a personál“ neexistujú žiadni interní potenciálni porušovatelia šiestej kategórie.
Do siedmej kategórie interných potenciálnych narušiteľov (ďalej I7) patria programátori-vývojári (dodávatelia) aplikačného softvéru (PPO) a osoby, ktoré poskytujú jeho podporu v ISPDN. Medzi interných potenciálnych porušovateľov siedmej kategórie v ISPDN „Účtovníctvo a personalistika“ patria programátori-vývojári, ktorí nie sú oprávnenými používateľmi ISPDN „Účtovníctvo a personalistika“, ale majú jednorazový prístup do kontrolovanej oblasti.
Do ôsmej kategórie interných potenciálnych narušiteľov (ďalej I8) patria vývojári a osoby, ktoré zabezpečujú dodávku, údržbu a opravy technických prostriedkov v ISPDN. Medzi interných potenciálnych porušovateľov ôsmej kategórie v ISPDN „Účtovníctvo a personalistika“ patria zamestnanci, ktorí nie sú oprávnenými používateľmi ISPDN „Účtovníctvo a personalistika“, ale majú jednorazový prístup do kontrolovaného pásma, ako aj zamestnanci tretích -stranícke organizácie, ktoré podporujú technické prostriedky ISPDN "Účtovníctvo a personál".
Na základe vyššie uvedeného by sa za zdroje ohrozenia neoprávnených osôb mali považovať títo porušovatelia:
- vonkajší narušiteľ I0;
- interný porušovateľ IL, ktorý má autorizovaný prístup do ISPDN "Účtovníctvo a personál", ale nemá prístup k PD. Tento typ porušovateľa zahŕňa úradníkov, ktorí zabezpečujú normálne fungovanie ISPD "Účtovníctvo a personál" - obsluhujúci personál, ktorý vykonáva prácu v priestoroch, v ktorých sa nachádzajú technické prostriedky ISPDN "Účtovníctvo a personál", zamestnanci, ktorí majú prístup k priestory, v ktorých sa nachádzajú technické prostriedky ISPDN „Účtovníctvo a personál“;
- interný porušovateľ I7, ktorý je vývojárom softvéru (dodávateľom) alebo osobou, ktorá poskytuje softvérovú podporu v ISPDN „Účtovníctvo a ľudské zdroje“;
- interný páchateľ I8, ktorý je developerom alebo osobou zabezpečujúcou dodávku, údržbu a opravu technických prostriedkov v ISPDN „Účtovníctvo a personalistika“.
4.3.2. Zdroj hrozieb NSD - nosiče škodlivých programov
Nosičom škodlivého programu môže byť hardvérový prvok počítača alebo softvérový kontajner.
Ak je s aplikačným programom spojený škodlivý program, za jeho nosiča sa považujú:
Odcudziteľné médiá, t. j. disketa, optický disk (CD-R, CD-RW), pamäť typu flash, odcudzený pevný disk atď.;
Vstavané pamäťové médiá (pevné disky, mikroobvody RAM, procesor, mikroobvody základnej dosky, mikroobvody zariadení zabudovaných do systémovej jednotky - video adaptér, sieťová karta, zvuková karta, modem, vstupné/výstupné zariadenia magnetických pevných a optických diskov, napájanie atď., mikroobvody s priamym prístupom k pamäti zberníc na prenos údajov, vstupno-výstupné porty);
- mikroobvody externých zariadení (monitor, klávesnica, tlačiareň, modem, skener atď.).
Ak je škodlivý program spojený s akýmkoľvek aplikačným programom, súbormi s určitými príponami alebo inými atribútmi, so správami prenášanými cez sieť, jeho nosičmi sú:
- pakety prenášané počítačovou sieťou správ;
- súbory (textové, grafické, spustiteľné atď.).
5. Model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačnom systéme osobných údajov „Účtovníctvo a personalistika“ BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Z analýzy vyplýva, že v súlade s požiadavkami „Postupu pri klasifikácii informačných systémov osobných údajov“ ISPDN „Účtovníctvo a personál“ inštitúcie je lokálnym ISPDN, ktoré má pripojenie na verejné komunikačné siete.
Ako základný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v ISPDN „Účtovníctvo a personalistika“ si teda môžete vziať „Typický model ohrozenia bezpečnosti osobných údajov spracúvaných v lokálnych informačných systémoch osobných údajov“. ktoré majú pripojenie na verejné komunikačné siete a (alebo) siete na medzinárodnú výmenu informácií“.
V súlade so špecifikovaným štandardným modelom ohrozenia bezpečnosti osobných údajov v ISPDN „Účtovníctvo a ľudské zdroje“ je možné implementovať nasledovné ohrozenia bezpečnosti osobných údajov:
- hrozby úniku informácií cez technické kanály;
- hrozby neoprávneného prístupu k osobným údajom spracúvaným na automatizovanom pracovisku.
Hrozby pre ISPDN „Účtovníctvo a personál“ sú spojené s konaním porušovateľov, ktorí majú prístup k ISPD, vrátane používateľov ISPD, ktorí implementujú hrozby priamo do ISPD (interný porušovateľ), ako aj porušovateľov, ktorí nemajú prístup k ISPD. ISPD a implementovať hrozby z externých komunikačných sietí všeobecného použitia (vonkajší narušiteľ).
S prihliadnutím na skladbu aplikovaných ochranných prostriedkov, kategórie osobných údajov, kategórie pravdepodobných porušovateľov a odporúčania „Základného modelu ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ je potrebné zvážiť nasledujúce bezpečnostné hrozby pre ISPDN „Účtovníctvo a personál“:
- hrozba úniku akustických informácií;
- hrozba úniku informácií o druhu,
- hrozba úniku informácií cez kanál PEMIN;
- hrozba implementovaná počas načítania operačného systému;
- hrozba implementovaná po načítaní operačného systému;
- hrozba zavedenia škodlivých programov;
- hrozba „Analýza sieťovej prevádzky“ so zachytením informácií prenášaných cez sieť;
- skenovacia hrozba zameraná na identifikáciu otvorených portov a služieb, otvorených spojení atď.;
- hrozba identifikácie hesiel;
- hrozba prijatia neoprávnenej služby nahradením dôveryhodného sieťového objektu;
- Hrozba odmietnutia služby;
- hrozba vzdialeného spúšťania aplikácií;
- hrozba zavedenia škodlivých programov cez sieť.
5.1. Stanovenie úrovne počiatočného zabezpečenia ISPDN "Účtovníctvo a personál"
Úroveň počiatočnej bezpečnosti sa chápe ako zovšeobecnený ukazovateľ Y 1, ktorý závisí od technických a prevádzkových charakteristík ISPDN.
V súlade s „Metodikou zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ zistiť úroveň počiatočného zabezpečenia ISPD, t.j. hodnoty číselného koeficientu Y 1, je potrebné určiť ukazovatele počiatočného zabezpečenia.
|
Technické a prevádzkové charakteristiky ISPDN |
Úroveň zabezpečenia |
||
|
Vysoká |
Priemerná |
Krátky |
|
|
1. Podľa územnej polohy: |
|||
|
lokálny ISPDN nasadený v rámci jednej budovy |
|||
|
2. Prítomnosťou pripojenia k verejným sieťam: |
|||
|
ISPDN, ktorý má jednobodový prístup do verejnej siete; |
|||
|
3. Pre vstavané (právne) operácie s evidenciou databáz osobných údajov: |
|||
|
zaznamenávanie, mazanie, triedenie; |
|||
|
4. Odlíšením prístupu k osobným údajom: |
|||
|
ISPD, ku ktorému majú prístup zamestnanci organizácie, ktorá je vlastníkom ISPD, alebo subjektom PD; |
|||
Z analýzy výsledkov počiatočného zabezpečenia vyplýva, že viac ako 70 % charakteristík ISPDN „Účtovníctvo a personál“ inštitúcie zodpovedá úrovni nie nižšej ako „priemer“.
Následne v súlade s „Metodikou zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ má ISPDN „Účtovníctvo a personalistika“ priemernú úroveň počiatočného zabezpečenia a číselný koeficient Y 1 = 5.
5.2. Určenie pravdepodobnosti implementácie hrozieb v ISPDN "Účtovníctvo a personál"BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Pravdepodobnosť ohrozenia sa chápe ako ukazovateľ určený odborníkom, charakterizujúci pravdepodobnosť implementácie konkrétneho ohrozenia bezpečnosti osobných údajov pre daný ISPD v prevládajúcich podmienkach situácie.
Číselný koeficient (Y 2) na posúdenie pravdepodobnosti ohrozenia je určený štyrmi verbálnymi gradáciami tohto ukazovateľa:
- nepravdepodobné – neexistujú žiadne objektívne predpoklady na realizáciu hrozby (Y 2 = 0);
- nízka pravdepodobnosť - existujú objektívne predpoklady na to, aby sa ohrozenie naplnilo, ale prijaté opatrenia výrazne komplikujú jeho realizáciu (Y 2 = 2);
- priemerná pravdepodobnosť - existujú objektívne predpoklady na to, aby sa ohrozenie naplnilo, ale prijaté opatrenia na zaistenie bezpečnosti osobných údajov sú nedostatočné (Y 2 = 5);
- vysoká pravdepodobnosť - neboli prijaté objektívne predpoklady na to, aby sa ohrozenie naplnilo a opatrenia na zaistenie bezpečnosti osobných údajov (Y 2 = 10).
|
Typ bezpečnostnej hrozby PD |
Pravdepodobnosť realizácie hrozby Y2. Zdroj ohrozenia - porušovatelia kategórií (I0, I1, I7, I8) |
|||||
|
Celkom Y2 = MAX (I0, I1, I7, I8) |
||||||
|
1.2. Hrozby úniku informácií o druhoch |
||||||
|
|
||||||
|
2.1.1. Krádež PC |
||||||
|
|
||||||
|
2.2.3. Inštalácia neoficiálneho softvéru |
||||||
|
|
||||||
|
2.3.6. Katastrofa |
||||||
|
|
||||||
|
|
||||||
|
2.5.1.1. Odpočúvanie mimo kontrolovaného pásma |
||||||
|
2.5.4 Hrozby falošného sieťovania trás |
||||||
5.3. Určenie možnosti implementácie hrozieb v ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Na základe výsledkov posúdenia úrovne počiatočného zabezpečenia (Y 1) a pravdepodobnosti hrozby (Y 2) sa vypočíta faktor realizovateľnosti hrozby (Y) a určí sa možnosť realizácie hrozby.
Faktor uskutočniteľnosti hrozby sa vypočíta podľa vzorca:
Y = (Y1 + Y2) / 20.
Na základe hodnoty faktora uskutočniteľnosti hrozby Y je verbálna interpretácia realizovateľnosti hrozby formulovaná takto:
- ak je 0≤Y≤0,3, potom sa pravdepodobnosť hrozby považuje za nízku;
- ak je 0,3≤Y≤0,6, potom sa ohrozenie považuje za stredné;
- ak je 0,6≤Y≤0,8, potom sa možnosť hrozby považuje za vysokú;
- ak Y> 0,8, potom sa možnosť ohrozenia považuje za veľmi vysokú
|
Typ bezpečnostnej hrozby PD |
implementácia hrozby Y2 |
Faktor uskutočniteľnosti hrozby |
|
|
1. Hrozby únikom cez technické kanály |
|||
|
1.1. Hrozby úniku akustických informácií |
|||
|
1.2. Hrozby úniku informácií o druhoch |
|||
|
1.3. Hrozby úniku informácií cez kanály PEMIN |
|||
|
2. Hrozby neoprávneného prístupu k informáciám |
|||
|
2.1. Hrozby zničenia, krádeže hardvéru ISPD nosičov informácií prostredníctvom fyzického prístupu k prvkom ISPD |
|||
|
2.1.1. Krádež PC |
|||
|
2.1.2. Krádež médií |
|||
|
2.1.3. Krádež kľúčov a prístupových atribútov |
|||
|
2.1.4. Krádež, úprava, zničenie informácií |
|||
|
2.1.5. Deaktivácia uzlov PC, komunikačných kanálov |
|||
|
2.1.6. Neoprávnený prístup k informáciám pri údržbe (oprava, zničenie) PC jednotiek |
|||
|
2.1.7. Neoprávnené odpojenie ochranných prostriedkov |
|||
|
2.2. Hrozba krádeží, neoprávnená úprava alebo zablokovanie informácií z dôvodu neoprávneného prístupu (NSD) s použitím softvéru a hardvéru a softvéru (vrátane softvéru a matematických vplyvov) |
|||
|
2.2.1. Akcie škodlivých programov (vírusov) |
|||
|
2.3. Hrozby neúmyselného konania používateľov a porušovania bezpečnosti fungovania ISPD a SZPD v jeho zložení v dôsledku porúch softvéru, ako aj ohrozenia neantropogénne (zlyhania hardvéru z dôvodu nespoľahlivosti prvkov, výpadky napájania) a prirodzené (údery blesku). , požiare, povodne atď. atď.) charakter |
|||
|
2.3.1. Strata kľúčov a prístupových atribútov |
|||
|
2.3.2. Neúmyselná úprava (zničenie) informácií zamestnancami |
|||
|
2.3.3. Neúmyselné vypnutie ochranných prostriedkov |
|||
|
2.3.4. Porucha hardvéru a softvéru |
|||
|
2.3.5. Porucha napájania |
|||
|
2.3.6. Katastrofa |
|||
|
2.4. Úmyselné hrozby zasvätených osôb |
|||
|
2.4.1. Prístup k informáciám, úprava, zničenie osôb nepripustených k ich spracovaniu |
|||
|
2.4.2. Sprístupnenie informácií, úprava, zničenie zamestnancami pripustenými k ich spracovaniu |
|||
|
2.5 Hrozby neoprávneného prístupu cez komunikačné kanály |
|||
|
2.5.1 Hrozba „Analýza sieťovej prevádzky“ so zachytením informácií prenášaných z ISPD a prijímaných z externých sietí: |
|||
|
2.5.1.1. Odpočúvanie mimo kontrolovaného pásma |
|||
|
2.5.1.2. Zachytenie v kontrolovanej oblasti vonkajšími narušiteľmi |
|||
|
2.5.1.3 Zachytenie v kontrolovanom pásme zasvätenými osobami. |
|||
|
2.5.2 Skenovanie hrozieb zamerané na identifikáciu typu alebo typov používaných operačných systémov, sieťových adries pracovných staníc ISPDN, topológie siete, otvorených portov a služieb, otvorených pripojení atď. |
|||
|
2.5.3 Hrozby odhalenia hesla siete |
|||
|
2.5.5 Hrozby spoofingu dôveryhodných objektov v sieti |
|||
|
2.5.6 Hrozby vloženia falošného objektu do ISPD aj do externých sietí |
|||
|
2.5.7. Hrozby odmietnutia služby |
|||
|
2.5.8 Hrozby spustenia vzdialených aplikácií |
|||
|
2.5.9 Hrozby zo strany škodlivých programov cez sieť |
|||
5.4. Hodnotenie hrozby hrozieb v ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Hodnotenie nebezpečnosti hrozby v ISPDN je založené na prieskume medzi odborníkmi na informačnú bezpečnosť a je určené slovným indikátorom nebezpečnosti, ktorý má tri významy:
- nízke nebezpečenstvo - ak realizácia hrozby môže viesť k menším negatívnym dôsledkom pre subjekty osobných údajov;
- stredné nebezpečenstvo - ak realizácia hrozby môže viesť k negatívnym dôsledkom pre subjekty osobných údajov;
- vysoké nebezpečenstvo - ak realizácia hrozby môže viesť k významným negatívnym dôsledkom pre subjekty osobných údajov
|
Typ bezpečnostnej hrozby PD |
Nebezpečenstvo hrozieb |
|
1. Hrozby únikom cez technické kanály |
|
|
1.1. Hrozby úniku akustických informácií |
|
|
1.2. Hrozby úniku informácií o druhoch |
|
|
1.3. Hrozby úniku informácií cez kanály PEMIN |
|
|
2. Hrozby neoprávneného prístupu k informáciám |
|
|
2.1. Hrozby zničenia, krádeže hardvéru ISPD nosičov informácií prostredníctvom fyzického prístupu k prvkom ISPD |
|
|
2.1.1. Krádež PC |
|
|
2.1.2. Krádež médií |
|
|
2.1.3. Krádež kľúčov a prístupových atribútov |
|
|
2.1.4. Krádež, úprava, zničenie informácií |
|
|
2.1.5. Deaktivácia uzlov PC, komunikačných kanálov |
|
|
2.1.6. Neoprávnený prístup k informáciám pri údržbe (oprava, zničenie) PC jednotiek |
|
|
2.1.7. Neoprávnené odpojenie ochranných prostriedkov |
|
|
2.2. Hrozba krádeží, neoprávnená úprava alebo zablokovanie informácií z dôvodu neoprávneného prístupu (NSD) s použitím softvéru a hardvéru a softvéru (vrátane softvéru a matematických vplyvov) |
|
|
2.2.1. Akcie škodlivých programov (vírusov) |
|
|
2.2.3. Inštalácia softvéru nesúvisiaceho s plnením služobných povinností |
|
|
2.3. Hrozby neúmyselného konania užívateľov a porušovania bezpečnosti fungovania ISPD a SZPD v jeho zložení v dôsledku softvérových porúch, ako aj ohrozenia neantropogénne (zlyhania hardvéru v dôsledku nespoľahlivosti prvkov, výpadky napájania) a prírodné (blesky štrajky, požiare, povodne a pod.) .p.) charakter |
|
|
2.3.1. Strata kľúčov a prístupových atribútov |
|
|
2.3.2. Neúmyselná úprava (zničenie) informácií zamestnancami |
|
|
2.3.3. Neúmyselné vypnutie ochranných prostriedkov |
|
|
2.3.4. Porucha hardvéru a softvéru |
|
|
2.3.5. Porucha napájania |
|
|
2.3.6. Katastrofa |
|
|
2.4. Úmyselné hrozby zasvätených osôb |
|
|
2.5 Hrozby neoprávneného prístupu cez komunikačné kanály |
|
|
2.5.1 Hrozba „Analýza sieťovej prevádzky“ so zachytením informácií prenášaných z ISPD a prijímaných z externých sietí: |
|
|
2.5.1.1. Odpočúvanie na prerozdelenie z kontrolovanej oblasti |
|
|
2.5.1.2. Zachytenie v kontrolovanej oblasti vonkajšími narušiteľmi |
|
|
2.5.1.3 Zachytenie v kontrolovanom pásme zasvätenými osobami. |
|
|
2.5.2 Skenovanie hrozieb zamerané na identifikáciu typu alebo typov používaných operačných systémov, sieťových adries pracovných staníc ISPDN, topológie siete, otvorených portov a služieb, otvorených pripojení atď. |
|
|
2.5.3 Hrozby odhalenia hesla siete |
|
|
2.5.4 Hrozby falošného sieťovania trás |
|
|
2.5.5 Hrozby spoofingu dôveryhodných objektov v sieti |
|
|
2.5.6 Hrozby vloženia falošného objektu do ISPD aj do externých sietí |
|
|
2.5.7. Hrozby odmietnutia služby |
|
|
2.5.8 Hrozby spustenia vzdialených aplikácií |
|
|
2.5.9 Hrozby zo strany škodlivých programov cez sieť |
|
5.5. Určenie relevantnosti hrozieb v ISPDN
V súlade s pravidlami pre klasifikáciu bezpečnostnej hrozby ako relevantnej sa pre ISPD "Účtovníctvo a personál" inštitúcie určujú skutočné a irelevantné hrozby.
|
Možnosť implementácie hrozby |
Nebezpečná hrozba |
||
|
irelevantné |
irelevantné |
skutočné |
|
|
irelevantné |
skutočné |
skutočné |
|
|
skutočné |
skutočné |
skutočné |
|
|
Veľmi vysoko |
skutočné |
skutočné |
skutočné |
|
Typ bezpečnostnej hrozby PD |
Nebezpečenstvo hrozieb |
Možnosť realizácie hrozby |
Relevantnosť hrozby |
|
1. Hrozby únikom cez technické kanály |
|||
|
1.1. Hrozby úniku akustických informácií |
irelevantné |
||
|
1.2. Hrozby úniku informácií o druhoch |
irelevantné |
||
|
1.3. Hrozby úniku informácií cez kanály PEMIN |
irelevantné |
||
|
2. Hrozby neoprávneného prístupu k informáciám |
|||
|
2.1. Hrozby zničenia, krádeže hardvéru ISPD, nosičov informácií prostredníctvom fyzického prístupu k prvkom ISPD |
|||
|
2.1.1. Krádež PC |
skutočné |
||
|
2.1.2. Krádež médií |
skutočné |
||
|
2.1.3. Krádež kľúčov a prístupových atribútov |
skutočné |
||
|
2.1.4. Krádež, úprava, zničenie informácií |
skutočné |
||
|
2.1.5. Deaktivácia uzlov PC, komunikačných kanálov |
irelevantné |
||
|
2.1.6. Neoprávnený prístup k informáciám pri údržbe (oprava, zničenie) PC jednotiek |
skutočné |
||
|
2.1.7. Neoprávnené odpojenie ochranných prostriedkov |
skutočné |
||
|
2.2. Hrozba krádeží, neoprávnená úprava alebo zablokovanie informácií z dôvodu neoprávneného prístupu (NSD) s použitím softvéru a hardvéru a softvéru (vrátane softvéru a matematických vplyvov) |
|||
|
2.2.1. Akcie škodlivých programov (vírusov) |
skutočné |
||
|
irelevantné |
|||
|
2.2.3. Inštalácia softvéru nesúvisiaceho s plnením služobných povinností |
irelevantné |
||
|
2.3. Hrozby neúmyselného konania užívateľov a porušovania bezpečnosti fungovania ISPD a SZPD v jeho zložení v dôsledku softvérových porúch, ako aj ohrozenia neantropogénne (zlyhania hardvéru v dôsledku nespoľahlivosti prvkov, výpadky napájania) a prírodné (blesky štrajky, požiare, povodne a pod.) .p.) charakter |
|||
|
2.3.1. Strata kľúčov a prístupových atribútov |
irelevantné |
||
|
2.3.2. Neúmyselná úprava (zničenie) informácií zamestnancami |
skutočné |
||
|
2.3.3. Neúmyselné vypnutie ochranných prostriedkov |
irelevantné |
||
|
2.3.4. Porucha hardvéru a softvéru |
skutočné |
||
|
2.3.5. Porucha napájania |
irelevantné |
||
|
2.3.6. Katastrofa |
skutočné |
||
|
2.4. Úmyselné hrozby zasvätených osôb |
|||
|
2.4.1. Prístup k informáciám, úprava, zničenie osôb nepripustených k ich spracovaniu |
skutočné |
||
|
2.4.2. Sprístupnenie informácií, úprava, zničenie zamestnancami pripustenými k ich spracovaniu |
skutočné |
||
|
2.5 Hrozby neoprávneného prístupu cez komunikačné kanály |
|||
|
2.5.1 Hrozba „Analýza sieťovej prevádzky“ so zachytením informácií prenášaných z ISPD a prijímaných z externých sietí: |
skutočné |
||
|
2.5.1.1. Odpočúvanie mimo kontrolovaného pásma |
skutočné |
||
|
2.5.1.2. Zachytenie v kontrolovanej oblasti vonkajšími narušiteľmi |
skutočné |
||
|
2.5.1.3 Zachytenie v kontrolovanom pásme zasvätenými osobami. |
skutočné |
||
|
2.5.2 Skenovanie hrozieb zamerané na identifikáciu typu alebo typov používaných operačných systémov, sieťových adries pracovných staníc ISPDN, topológie siete, otvorených portov a služieb, otvorených pripojení atď. |
skutočné |
||
|
2.5.3 Hrozby odhalenia hesla siete |
skutočné |
||
|
2.5.4 Hrozby falošného sieťovania trás |
irelevantné |
||
|
2.5.5 Hrozby spoofingu dôveryhodných objektov v sieti |
irelevantné |
||
|
2.5.6 Hrozby vloženia falošného objektu do ISPD aj do externých sietí |
irelevantné |
||
|
2.5.7. Hrozby odmietnutia služby |
skutočné |
||
|
2.5.8 Hrozby spustenia vzdialených aplikácií |
skutočné |
||
|
2.5.9 Hrozby zo strany škodlivých programov cez sieť |
skutočné |
||
Súčasné hrozby pre bezpečnosť osobných údajov v ISPD „Účtovníctvo a ľudské zdroje“ inštitúcie sú teda hrozby neoprávneného prístupu k informáciám:
Hrozby zničenia, krádeže hardvéru ISPD, nosičov informácií prostredníctvom fyzického prístupu k prvkom ISPD;
Hrozby neúmyselného konania užívateľov a porušovania bezpečnosti fungovania ISPD a SZPD v jeho zložení v dôsledku softvérových porúch, ako aj ohrozenia neantropogénne (zlyhania hardvéru v dôsledku nespoľahlivosti prvkov, výpadky napájania) a prírodné (blesky štrajky, požiare, povodne a pod.) .p.) charakter;
Úmyselné vyhrážky zo strany zasvätených osôb;
Hrozby neoprávneného prístupu cez komunikačné kanály.
6. Model páchateľa ISPDN "Účtovníctvo a personál" BU "Yadrinsky KTSSON" ministerstva práce Čuvašska
V súlade s nariadením vlády Ruskej federácie zo dňa 1.11.2012 č.1119 „O schválení požiadaviek na ochranu osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov“ je bezpečnosť osobných údajov pri ich spracúvaní v informačný systém je zabezpečený systémom ochrany osobných údajov, ktorý neutralizuje aktuálne hrozby, určený v súlade s časťou 5 § 19 spolkového zákona „O osobných údajoch“.
Systém ochrany osobných údajov zahŕňa organizačné a (alebo) technické opatrenia určené s prihliadnutím na aktuálne ohrozenia bezpečnosti osobných údajov a informačné technológie používané v informačných systémoch.
Hardvér a softvér musia spĺňať požiadavky stanovené v súlade s právnymi predpismi Ruskej federácie na zabezpečenie ochrany informácií.
Charakteristika ISPD „Účtovníctvo a personál“ inštitúcie, chránené zdroje ISPN „Účtovníctvo a personál“ inštitúcie, hrozba úniku PD cez technické kanály, hrozba NDS pre informácie ISPD “ Účtovníctvo a personál“ inštitúcie a Model ohrozenia bezpečnosti PD sú uvedené v predchádzajúcich častiach tohto dokumentu.
Na základe údajov získaných v týchto častiach, s prihliadnutím na „Metodické odporúčania pre vypracovanie regulačných právnych aktov, ktoré určujú ohrozenia bezpečnosti osobných údajov, relevantné pri spracúvaní osobných údajov v informačných systémoch osobných údajov prevádzkovaných pri realizácii príslušných činností“ "schválené vedením 8. strediska FSB Ruska dňa 31.03. 2015 № 149/7/2 / 6-432, je možné objasniť schopnosti narušiteľov (zdroje útokov) pri použití kryptografických prostriedkov na zabezpečenie osobných údaje pri ich spracúvaní v ISPD „Účtovníctvo a personalistika“ inštitúcie.
|
Všeobecné možnosti zdrojov útoku |
||
|
Schopnosť samostatne vytvárať spôsoby útokov, pripravovať a viesť útoky len mimo kontrolovaného priestoru |
||
|
Schopnosť samostatne vytvárať spôsoby útokov, pripravovať a viesť útoky v rámci kontrolovaného priestoru, avšak bez fyzického prístupu k hardvéru (ďalej len AS), na ktorom je implementovaný systém ochrany kryptografických informácií a prostredie pre ich prevádzku. |
||
|
Schopnosť samostatne vytvárať spôsoby útokov, pripravovať a viesť útoky v kontrolovanom priestore s fyzickým prístupom do AS, na ktorom je implementovaný systém ochrany kryptografických informácií a prostredie pre ich prevádzku. |
||
|
Príležitosť prilákať špecialistov so skúsenosťami s vývojom a analýzou zariadení na ochranu kryptografických informácií (vrátane špecialistov v oblasti analýzy lineárnych prenosových signálov a signálov falošného elektromagnetického žiarenia a rušenia zo zariadení na ochranu kryptografických informácií) |
||
|
Schopnosť prilákať odborníkov so skúsenosťami s vývojom a analýzou nástrojov na ochranu kryptografických informácií (vrátane špecialistov v oblasti využívania nezdokumentovaných schopností aplikovaného softvéru na implementáciu útokov); |
||
|
Schopnosť prilákať špecialistov so skúsenosťami s vývojom a analýzou nástrojov na ochranu kryptografických informácií (vrátane špecialistov v oblasti využívania nezdokumentovaných schopností hardvérových a softvérových komponentov operačného prostredia pre nástroje na ochranu kryptografických informácií na realizáciu útokov). |
Implementácia ohrozenia bezpečnosti osobných údajov spracúvaných v informačných systémoch osobných údajov je daná možnosťami zdrojov útokov. Relevantnosť využívania schopností zdrojov útoku teda určuje prítomnosť relevantných aktuálnych hrozieb.
|
Objasnené možnosti narušiteľov a smery útokov (relevantné aktuálne hrozby) |
Relevantnosť použitia (aplikácie) pre budovanie a implementáciu útokov |
Odôvodnenie neprítomnosti |
|
|
vykonanie útoku v kontrolovanom pásme. |
nie sú relevantné |
zástupcovia technických, obslužných a iných podporných služieb pri práci v priestoroch, v ktorých sa PKI nachádza, a zamestnanci, ktorí nie sú používateľmi PKIPCP, sa v týchto priestoroch zdržiavajú len v prítomnosti obsluhy; zamestnanci, ktorí sú používateľmi ISPD, ale nie sú používateľmi ISPD, sú informovaní o pravidlách práce v ISPD a zodpovednosti za nedodržiavanie pravidiel na zaistenie bezpečnosti informácií; Používatelia CIPF sú informovaní o pravidlách práce v ISPD, pravidlách práce s CIPF a zodpovednosti za nedodržiavanie pravidiel informačnej bezpečnosti; priestory, v ktorých sa SKZI nachádza, sú vybavené vstupnými dverami so zámkami, ktoré zabezpečujú, že dvere priestorov sú uzamykateľné a otvárané len na povolený prechod; boli schválené pravidlá prístupu do priestorov, kde sídli CIPF v pracovnom a mimopracovnom čase, ako aj v núdzových situáciách; bol schválený zoznam osôb, ktoré majú právo vstupu do priestorov, kde sa nachádza systém ochrany kryptografických informácií; vykonáva sa registrácia a účtovanie užívateľských akcií s PD; monitoruje sa celistvosť ochranných prostriedkov; |
|
|
vykonávanie útokov počas prevádzky systému ochrany kryptografických informácií na tieto objekty: Dokumentácia pre kryptografické ochranné zariadenia a komponenty SF; Priestory obsahujúce súbor programových a technických prvkov systémov spracovania údajov schopných fungovať samostatne alebo ako súčasť iných systémov (ďalej len SVT), na ktorých sú implementované CIP a SF. |
nie sú relevantné |
prebiehajú náborové práce; dokumentáciu zariadenia kryptografickej ochrany uchováva osoba zodpovedná za zariadenie kryptografickej ochrany v kovovom trezore; priestory, v ktorých sa nachádza dokumentácia ku komponentom SKZI, SKZI a SF, sú vybavené vstupnými dverami so zámkami, ktoré zabezpečujú, že dvere priestorov sú trvalo uzamknuté a otvárané len na povolený prechod; bol schválený zoznam osôb oprávnených na vstup do priestorov. |
|
|
získanie v rámci udelených právomocí, ako aj na základe pozorovaní, týchto informácií: Informácie o opatreniach fyzickej ochrany objektov, v ktorých sa nachádzajú zdroje informačného systému; Informácie o opatreniach na zabezpečenie kontrolovaného pásma objektov, v ktorých sa nachádzajú zdroje informačného systému; Informácie o opatreniach na vymedzenie prístupu do priestorov, v ktorých sa nachádzajú SVT, na ktorých sú realizované CIP a SF. |
nie sú relevantné |
prebiehajú náborové práce; informácie o opatreniach fyzickej ochrany objektov, v ktorých sa ISPD nachádza, sú dostupné obmedzenému počtu zamestnancov; zamestnanci sú informovaní o zodpovednosti za nedodržiavanie pravidiel informačnej bezpečnosti. |
|
|
používanie štandardných prostriedkov ISPD, obmedzené opatreniami implementovanými v informačnom systéme, v ktorom sa používa nástroj ochrany kryptografických informácií, a zameranými na predchádzanie a potláčanie neoprávnených akcií. |
nie sú relevantné |
prebiehajú práce na výbere personálu; priestory, v ktorých sa nachádza SVT, na ktorých sídli SKZI a SF, sú vybavené vstupnými dverami so zámkom, dvere priestorov sú uzamykateľné a otvárané len na povolený prechod; zamestnanci sú informovaní o zodpovednosti za nedodržiavanie pravidiel informačnej bezpečnosti; vykonáva sa vymedzenie a kontrola prístupu používateľov k chráneným zdrojom; ISPD používa: certifikované prostriedky na ochranu informácií pred neoprávneným prístupom; certifikované prostriedky antivírusovej ochrany. |
|
|
fyzický prístup k SVT, na ktorom sú implementované nástroje na ochranu kryptografických informácií a SF. |
nie sú relevantné |
prebiehajú náborové práce; priestory, v ktorých sa nachádza SVT, na ktorých sídli SKZI a SF, sú vybavené vstupnými dverami so zámkami, dvere priestorov sú uzamykateľné a otvárajú sa len na povolený prechod. |
|
|
schopnosť ovplyvňovať hardvérové komponenty systému ochrany kryptografických informácií a SF, obmedzená opatreniami implementovanými v informačnom systéme, v ktorom sa používa nástroj ochrany kryptografických informácií, a zameraná na predchádzanie a potláčanie neoprávnených akcií. |
nie sú relevantné |
prebiehajú náborové práce; zástupcovia technických, údržbárskych a iných podporných služieb pri práci v priestoroch, kde sa nachádzajú komponenty systému ochrany kryptografických informácií a SF a zamestnanci, ktorí nie sú používateľmi systému ochrany kryptografických informácií, sa v týchto miestnostiach zdržiavajú len v prítomnosti prevádzkového personálu. |
|
|
tvorba metód, príprava a realizácia útokov so zapojením špecialistov v oblasti analýzy signálov, sprevádzania prevádzky zariadení kryptografickej ochrany a bezpečnostných systémov a v oblasti využívania nezdokumentovaných (nedeklarovaných) schopností aplikovaného softvéru na implementáciu útokov. |
nie sú relevantné |
prebiehajú náborové práce; priestory, v ktorých sa SKZI a SF nachádzajú, sú vybavené vstupnými dverami so zámkami, dvere priestorov sú uzamykateľné a otvárané len na povolený prechod; vykonáva sa vymedzenie a kontrola prístupu používateľov k chráneným zdrojom; vykonáva sa registrácia a účtovanie akcií používateľa; na AWP a serveroch, na ktorých sú nainštalované nástroje na ochranu kryptografických informácií: používajú sa certifikované prostriedky na ochranu informácií pred neoprávneným prístupom; používajú sa certifikované prostriedky antivírusovej ochrany. |
|
|
vykonávanie laboratórneho výskumu zariadení na ochranu kryptografických informácií používaných mimo kontrolovaného pásma, obmedzeného opatreniami realizovanými v informačnom systéme, v ktorom sa zariadenie na ochranu kryptografických informácií používa, a zameraného na predchádzanie a potláčanie neoprávneného konania. |
nie sú relevantné |
nevykonáva sa spracúvanie informácií tvoriacich štátne tajomstvo, ako aj iných informácií, ktoré môžu byť zaujímavé na realizáciu príležitosti; |
|
|
Vykonávanie prác na tvorbe metód a prostriedkov útokov vo výskumných centrách špecializujúcich sa na vývoj a analýzu nástrojov na ochranu kryptografických informácií a finančných systémov vrátane využívania zdrojových kódov aplikovaného softvéru zahrnutého v Rade federácie, ktorá priamo využíva výzvy na softvérové funkcie systému ochrany kryptografických informácií. |
nie sú relevantné |
nevykonáva sa spracúvanie informácií tvoriacich štátne tajomstvo, ako aj iných informácií, ktoré môžu byť zaujímavé na realizáciu príležitosti; vysoké náklady a zložitosť prípravy implementácie príležitosti. |
|
|
tvorba metód, príprava a realizácia útokov so zapojením špecialistov v oblasti využívania nezdokumentovaných (nedeklarovaných) schopností systémového softvéru na realizáciu útokov. |
nie sú relevantné |
nevykonáva sa spracúvanie informácií tvoriacich štátne tajomstvo, ako aj iných informácií, ktoré môžu byť zaujímavé na realizáciu príležitosti; vysoké náklady a zložitosť prípravy implementácie príležitosti; prebiehajú náborové práce; priestory, v ktorých sa SKZI a SF nachádzajú, sú vybavené vstupnými dverami so zámkami, dvere priestorov sú uzamykateľné a otvárané len na povolený prechod; zástupcovia technických, údržbárskych a iných podporných služieb pri práci v priestoroch, kde sa nachádzajú komponenty systému ochrany kryptografických informácií a finančného systému a zamestnanci, ktorí nie sú používateľmi systému ochrany kryptografických informácií, sa v týchto miestnostiach zdržiavajú len v prítomnosť prevádzkového personálu; vykonáva sa vymedzenie a kontrola prístupu používateľov k chráneným zdrojom; vykonáva sa registrácia a účtovanie akcií používateľa; na AWP a serveroch, na ktorých sú nainštalované nástroje na ochranu kryptografických informácií: používajú sa certifikované prostriedky na ochranu informácií pred neoprávneným prístupom; používajú sa certifikované prostriedky antivírusovej ochrany. |
|
|
schopnosť mať informácie obsiahnuté v projektovej dokumentácii hardvérových a softvérových komponentov Rady federácie. |
nie sú relevantné |
||
|
schopnosť ovplyvňovať akékoľvek komponenty systému kryptografickej ochrany a SF. |
nie sú relevantné |
spracúvanie informácií tvoriacich štátne tajomstvo, ako aj iných informácií, ktoré môžu byť zaujímavé na realizáciu príležitosti, sa nevykonáva. |
6.1. Popis páchateľov (zdroje útokov)
Narušiteľom ISPDN (zdroj útokov) sa rozumie osoba (alebo ňou iniciovaný proces), ktorá vedie (vykonáva) útok.
V prípade prenosu údajov z (do) organizácie (organizácií) tretej strany iba pomocou papierových médií zamestnanci tejto organizácie nemôžu ovplyvniť hardvér a softvér ISPDN "Účtovníctvo a personál" inštitúcie a preto nemôžu byť v tomto dokumente považovaní za potenciálnych porušovateľov.
Všetky ostatné osoby, ktoré majú prístup k hardvéru a softvéru ISPD „Účtovníctvo a personál“ inštitúcie, možno klasifikovať do nasledujúcich kategórií:
Všetci potenciálni porušovatelia sú klasifikovaní do dvoch typov:
Vonkajší páchatelia - páchatelia, ktorí vykonávajú útoky mimo monitorovanej zóny ISPD;
Interní delikventi - páchatelia, ktorí vykonávajú útoky z monitorovanej zóny ISPD.
Predpokladá sa, že:
Vonkajšími páchateľmi môžu byť osoby kategórie I aj kategórie II;
Vnútornými páchateľmi môžu byť iba osoby kategórie II.
Možnosti potenciálnych porušovateľov ISPDN „Účtovníctvo a personál“ inštitúcie výrazne závisia od bezpečnostnej politiky implementovanej v ISPDN „Účtovníctvo a personál“ inštitúcie a prijatého režimu, organizačných, technických a technických opatrení na zaistenie bezpečnosti.
Všetky fyzické osoby, ktoré majú prístup k technickým a softvérovým nástrojom ISPD „Účtovníctvo a ľudské zdroje“ inštitúcie, v súlade so základným modelom ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov „(Výpis) (schválené FSTEC RF 15.02.2008), odkazujú na zdroje hrozieb a možno ich považovať za potenciálnych porušovateľov. Podľa vykonanej analýzy týkajúcej sa potenciálnych porušovateľov tohto PDIS „Účtovníctvo a ľudské zdroje“ inštitúcie zahŕňajú štyri z deviatich možných Kategórie:
Porušovatelia kategórie I0 (externí páchatelia) - osoby, ktoré nemajú priamy prístup k hardvéru a softvéru ISPD "Účtovníctvo a personál" inštitúcie nachádzajúcej sa v KZ;
Porušovateľmi kategórie I1 (interní páchatelia) sú osoby, ktoré majú oprávnený prístup do ISPD „Účtovníctvo a personál“ inštitúcie, ale nemajú prístup k PD (obslužný personál vykonávajúci práce v priestoroch, v ktorých sú technické prostriedky tohto ISPD). sa nachádzajú zamestnanci, ktorí majú prístup do priestorov, v ktorých sa nachádzajú technické prostriedky ISPDN „Účtovníctvo a personál“ inštitúcie;
Porušovatelia kategórie I7 (interní alebo externí páchatelia) - programátori-vývojári (dodávatelia) softvéru a osoby, ktoré poskytujú jeho podporu v ISPDN "Účtovníctvo a personál" inštitúcie a ktoré majú alebo nemajú jednorazový prístup k KZ;
Porušovatelia kategórie I8 (interní alebo externí porušovatelia kategórie 8) sú vývojári a osoby, ktoré zabezpečujú dodávku, údržbu a opravy technických zariadení v ISPDN „Účtovníctvo a personál“ inštitúcie a majú alebo nemajú jednorazový prístup k KZ.
Berúc do úvahy špecifiká fungovania ISPD „Účtovníctvo a personál“ inštitúcie a charakter v nej spracovaných PD, predpokladá sa, že privilegovaní používatelia tohto ISPD (správcovia), ktorí vykonávajú technickú správu a údržbu hardvéru a softvéru ISPD vrátane bezpečnostných nástrojov vrátane ich konfigurácie, konfigurácie a distribúcie dokumentácie kľúčov a hesiel, ako aj obmedzený počet registrovaných používateľov, sú obzvlášť dôveryhodnými osobami a sú vylúčení z počtu potenciálnych porušovateľov.
6.2. Určenie typu narušiteľa ISPDNBU "Yadrinsky KTSSON" ministerstva práce Čuvašska
Vzhľadom na vyššie uvedené možno považovať potenciálnych porušovateľov v ISPDN „Účtovníctvo a personál“ inštitúcie:
externý narušiteľ, ktorý nemá prístup k hardvéru a softvéru ISPDN nachádzajúceho sa v SC a samostatne vytvára metódy a prostriedky na realizáciu útokov a tieto útoky aj samostatne vykonáva;
interného narušiteľa, ktorý nie je používateľom ISPD, má však právo na trvalý alebo jednorazový prístup v KZ k počítačovému vybaveniu, na ktorom sú implementované kryptonástroje a SF a samostatne vytvára spôsoby útokov, ich pripravuje a vedie.
V súvislosti s hierarchickým poradím určovania spôsobilostí páchateľa v ISPD má najväčšie schopnosti vyššie uvedený vnútorný páchateľ.
6.3. Úroveň kryptografickej ochrany PD v ISPDN
Keďže najväčšie možnosti v ISPDN má „Účtovníctvo a personál“ inštitúcie interný narušiteľ, ktorý nie je používateľom ISPDN, ale má právo na trvalý alebo jednorazový prístup v KZ k počítačovému vybaveniu, na ktorom krypto-nástroje a SF sú implementované, samostatne vytvára metódy útokov, pripravuje a ich implementáciu, potom kryptografický nástroj používaný v ISPDN „Účtovníctvo a personál“ inštitúcie musí poskytovať kryptografickú ochranu na úrovni KC2. Túto úroveň kryptografickej ochrany môžu zabezpečiť inštitúcie certifikované FSB Ruska, prostriedky kryptografickej ochrany informácií „ViPNet Client KC2“ nainštalované v ISPDN „Účtovníctvo a ľudské zdroje“.
Záver
Na základe vyššie uvedeného možno vyvodiť tieto závery:
- ISPDN "Účtovníctvo a personál" inštitúcie je lokálny jednoužívateľský špeciálny informačný systém s diferenciáciou prístupových práv pre užívateľov, ktorí majú pripojenie do verejných komunikačných sietí.
- Hrozby úniku cez technické kanály, vrátane hrozieb úniku akustických (rečových) informácií, hrozieb úniku informácií o druhoch a hrozieb úniku cez kanál PEMIN v súlade s úrovňou počiatočného zabezpečenia ISPDN „Účtovníctvo a personál“ prevádzkové podmienky a technológie spracovania a uchovávania informácií sú irelevantné.
- Hrozby súvisiace s:
Neoprávnený prístup k informáciám;
Neúmyselné činy používateľov a narušenia bezpečnosti vo fungovaní ISPD a SZPD v jeho zložení v dôsledku softvérových porúch, ako aj hrozieb neantropogénnych (zlyhania hardvéru z dôvodu nespoľahlivosti prvkov, výpadky napájania) a prírodných (údery blesku, požiare, povodne a pod.) n.) charakter;
Úmyselné činy zasvätených osôb;
Neoprávnený prístup cez komunikačné kanály
sú zneškodnené prostriedkami antivírusovej ochrany zriadenými v účtovníctve a personálom inštitúcie, prostriedkami ochrany pred neoprávneným prístupom vrátane firewallingu, používaním kryptografických ochranných prostriedkov, ako aj organizačnými opatreniami na zabezpečenie bezpečného fungovania účtovníctva a personálny informačný systém inštitúcie v normálnom režime ... Preto sú vyššie uvedené hrozby irelevantné (ak sú tieto ochrany nainštalované.
- Aktuálne ohrozenia bezpečnosti osobných údajov zistené pri štúdiu ISPD „Účtovníctvo a ľudské zdroje“ inštitúcie predstavujú podmienky a faktory, ktoré vytvárajú reálne nebezpečenstvo neoprávneného prístupu k osobným údajom s cieľom narušiť ich dôvernosť, integritu a dostupnosť.
Tieto typy hrozieb je možné neutralizovať pomocou systému ochrany informácií Dallas Lock.
- Potenciálni porušovatelia bezpečnosti osobných údajov ISPDN "Účtovníctvo a personál" inštitúcie patria k porušovateľom vonkajších (I0) a interných 1, 7 a 8 kategórií (I1, I7, I8) podľa klasifikácie FSTEC Ruska. V súlade s vytvoreným modelom narušiteľa má najväčšie príležitosti v ISPDN „Účtovníctvo a personál“ inštitúcie interný narušiteľ, ktorý nie je používateľom ISPDN, ale má právo na trvalý alebo jednorazový prístup. v KZ do počítačového vybavenia, na ktorom sú implementované krypto aktíva a SF, samostatne vytvára spôsoby útokov, prípravy a konania. Na zabezpečenie kryptografickej ochrany nie nižšej ako KS2 sa odporúča použiť „ViPNet Coordinator KS2“, „ViPNet Client KC2“ v ISPD inštitúcie za predpokladu, že je nainštalovaný informačný bezpečnostný systém Dallas Lock. (Ak sa nepoužíva).
V súlade s požiadavkami tohto ISPDN „Účtovníctvo a personál“ inštitúcie sa odporúča stanoviť úroveň bezpečnosti UZ 3. V súlade s príkazom FSTEC Ruska zo dňa 18. februára 2013 č. 21 „Dňa schválenie zloženia a obsahu organizačno-technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov ", na zaistenie bezpečnosti osobných údajov v ISPD je potrebné prijať nasledovné opatrenia" Účtovníctvo a personálne " inštitúcie:
|
Podmienené označenie |
osobné údaje |
Požadovaný zoznam opatrení na zaistenie bezpečnosti osobných údajov pre stupeň ochrany osobných údajov UZ 3 |
|
||
|
identifikácia a autentifikácia užívateľa, ktorí sú zamestnancami prevádzkovateľa |
||
|
Správa identifikátorov vrátane vytvárania, priradenie, zničenie identifikátorov |
||
|
Správa autentifikácie, vrátane ukladanie, vydávanie, inicializácia, blokovanie prostriedky autentifikácie a akcie v prípade stratu a (alebo) ohrozenie prostriedkov autentifikácie |
||
|
Ochrana spätnej väzby pri zadávaní autentifikácie informácie |
||
|
Identifikácia a autentifikácia používateľa, nie ktorí sú zamestnancami prevádzkovateľa (externí používatelia) |
||
|
||
|
Správa (založenie, aktivácia, blokovanie a zničenie) používateľskými účtami vrátane počet externých používateľov |
||
|
Implementácia požadovaných metód (voľné, povinná, na základe roly alebo iná metóda), typy (čítanie, záznam, vykonanie alebo iný typ) a pravidlá Riadenie prístupu |
||
|
Správa (filtrovanie, smerovanie, kontrola spojenia, jednosmerný prenos a iné spôsoby riadenia) informačné toky medzi zariadeniami, segmentmi informačného systému, ako aj medzi informačnými systémami |
||
|
oddelenie právomocí (rolí) používateľov, správcov a poskytovateľov fungovanie informačného systému |
||
|
Pridelenie minimálnych požadovaných práv a privilégiá pre používateľov, správcov a osoby, zabezpečenie fungovania informačného systému |
||
|
Obmedzenie neúspešných pokusov o prihlásenie informačný systém (prístup do informačného systému) |
||
|
Blokovanie relácie prístupu k informáciám systému po nastavenom čase nečinnosti (nečinnosti) užívateľa alebo na jeho žiadosť |
||
|
Povoliť (zakázať) akcie používateľa, povolené pred identifikáciou a autentifikáciou |
||
|
Implementácia zabezpečeného vzdialeného prístupu subjektov k prístupu k objektom cez externé informačné a telekomunikačné siete |
||
|
informačný systém bezdrôtovej technológie |
||
|
Regulácia a kontrola používania v informačný systém mobilných technických prostriedkov |
||
|
Riadenie interakcie s informáciami systémy tretích strán (externé Informačné systémy) |
||
|
III. Ochrana strojových nosičov osobných údajov (ZNI) |
||
|
Zničenie (vymazanie) alebo depersonalizácia osobné údaje na strojových médiách, keď prenos medzi užívateľmi, tretím stranám organizácie na opravu alebo likvidáciu a kontrola deštrukcie (vymazania) alebo depersonalizácie |
||
|
||
|
Určenie bezpečnostných udalostí, ktoré sa majú uskutočniť registráciu a podmienky ich uchovávania |
||
|
Určenie zloženia a obsahu informácií o bezpečnostné udalosti, ktoré sa majú zaznamenávať |
||
|
Zhromažďovanie, zaznamenávanie a uchovávanie informácií o udalostiach bezpečnosť v stanovenom čase skladovanie |
||
|
Ochrana informácií o bezpečnostných udalostiach |
||
|
V. Antivírusová ochrana (AVZ) |
||
|
Implementácia antivírusovej ochrany |
||
|
Aktualizácia databázy príznakov škodlivého softvéru počítačové programy (vírusy) |
||
|
||
|
Identifikácia, analýza informačnej zraniteľnosti systémov a rýchle odstránenie novo identifikovaných zraniteľnosti |
||
|
Ovládanie inštalácie aktualizácií softvéru softvér vrátane aktualizácií softvéru zabezpečenie informačnej bezpečnosti |
||
|
Monitorovanie výkonu, nastavenia a správne fungovanie softvéru |
||
|
Kontrola zloženia technických prostriedkov, programového vybavenia informačnú bezpečnosť a prostriedky |
||
|
Vii. Zabezpečenie virtualizačného prostredia (VE) |
||
|
Identifikácia a autentifikácia subjektov prístupu a prístup k objektom vo virtuálnej infraštruktúre, vrátane počet správcov fondov virtualizácie |
||
|
Riadenie prístupu subjektov prístupu k objektom prístup vo virtuálnej infraštruktúre, vrátane vo virtuálnych strojoch |
||
|
Registrácia bezpečnostných udalostí vo virtuálnom infraštruktúry |
||
|
Implementácia a správa antivírusovej ochrany v virtuálna infraštruktúra |
||
|
Rozdelenie virtuálnej infraštruktúry na segmenty (virtuálna infraštruktúra sharding) pre spracúvanie osobných údajov jednotlivcom používateľa a (alebo) skupiny používateľov |
||
|
VIII. Ochrana technických zariadení (ZTS) |
||
|
Kontrola a riadenie fyzického prístupu k technické prostriedky, prostriedky informačnej bezpečnosti, prostriedky na zabezpečenie fungovania, ako aj do priestorov a objektov, v ktorých sú inštalované, s výnimkou neoprávneného fyzického prístupu k prostriedkom spracovania informácií, prostriedkom informačnej bezpečnosti a prostriedkom na zabezpečenie funkčnosti informačného systému, priestory a stavby, v ktorých sú inštalované |
||
|
Informácie o umiestnení výstupných zariadení (zobrazenia). s výnimkou jeho neoprávneného prezerania |
||
|
IX. Ochrana informačného systému, jeho prostriedkov, systémy komunikácie a prenosu dát (3IS) |
||
|
Zabezpečenie ochrany osobných údajov pred zverejnenie, úprava a uloženie (vloženie nepravdivého informácie) počas jeho prenosu (príprava na prenos) prostredníctvom komunikačných kanálov, ktoré presahujú kontrolovaný priestor vrátane bezdrôtového komunikačné kanály |
||
|
Zabezpečenie bezdrôtových pripojení používaných v informačný systém |
||
|
X. Manažment konfigurácie informačného systému a systémy ochrany osobných údajov (UKF) |
||
|
Určenie osôb, ktoré smú konať vykonávanie zmien v konfigurácii informačného systému a systému ochrany osobných údajov |
||
|
Riadenie zmien v konfigurácii informačného systému a systému ochrany osobných údajov |
||
|
Analýza potenciálneho vplyvu plánovaného zmeny v konfigurácii informačného systému a systému ochrany osobných údajov na zabezpečenie ochrany osobných údajov a zmeny v konfigurácii informačného systému dohodnúť s úradníkom (zamestnancom) zodpovedným za zaistenie bezpečnosti osobných údajov |
||
|
Zdokumentovanie informácií (údajov) o zmenách v konfigurácii informačného systému a systému ochrany osobných údajov |
||
V súčasnosti sa venujem revízii súkromnej politiky o rizikách narušenia informačnej bezpečnosti a aktualizácii modelu hrozby informačnej bezpečnosti.
Počas svojej práce som narazil na určité ťažkosti. O tom, ako som ich vyriešil a vyvinul model súkromnej hrozby, sa bude diskutovať ďalej.
Predtým mnohé banky používali Odvetvový model ohrozenia bezpečnosti osobných údajov, prevzatý z Odporúčania v oblasti štandardizácie RRZ RS BR IBBS-2.4-2010 "Zabezpečenie informačnej bezpečnosti organizácií v bankovom systéme Ruskej federácie. Sektorové súkromný model ohrozenia bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov organizácií bankový systém Ruskej federácie“ (RS BR IBBS-2.4-2010). Ale v súvislosti so zverejnením informácií z Bank of Russia zo dňa 30.5.2014 sa dokument stal neplatným. Teraz to musíte rozvíjať sami.
Málokto vie, že s vydaním štandardizačného odporúčania Bank of Russia „Zaistenie informačnej bezpečnosti organizácií bankového systému Ruskej federácie. Zabránenie úniku informácií“ RS BR IBBS-2.9-2016 (RS BR IBBS-2.9-2016) došlo k zámene pojmov. Teraz pri definovaní zoznam kategórií informácií a zoznam typov informačných aktív odporúča sa zamerať sa na obsah bodov 6.3 a 7.2 RS BR IBBS-2.9-2016. Predtým to bol bod 4.4 Odporúčaní v oblasti štandardizácie Bank of Russia "Zabezpečenie informačnej bezpečnosti organizácií v bankovom systéme Ruskej federácie. Metodika hodnotenia rizík narušenia informačnej bezpečnosti" RS BR IBBS-2.2- 2009 (RS BR IBBS-2.2-2009). Dokonca som sa obrátil na centrálnu banku so žiadosťou o vysvetlenie:
Hlavný zdrojov hrozieb sú uvedené v článku 6.6 štandardu Bank of Russia „Zabezpečenie informačnej bezpečnosti organizácií bankového systému Ruskej federácie. Všeobecné ustanovenia „STO BR IBBS-1.0-2014 (STO BR IBBS-1.0-2014). Potenciál votrelca možno vziať odtiaľto.
Vo všeobecnosti pri určovaní skutočné hrozby informačnej bezpečnosti je potrebné brať do úvahy incidenty informačnej bezpečnosti, ktoré sa vyskytli v organizácii, informácie z analytických správ regulátorov a spoločností poskytujúcich služby informačnej bezpečnosti a odborné stanovisko špecialistov spoločnosti.
Tiež kybernetické bezpečnostné hrozby sú určené v súlade s vyhláškou Ruskej banky zo dňa 10.12.2015 N 3889-U „O určovaní ohrození bezpečnosti osobných údajov, ktoré sú relevantné pri spracúvaní osobných údajov v informačných systémoch osobných údajov (3889-U), dodatok 1 RS BR IBBS-2.2-2009, tabuľka 1 RS BR IBBS-2.9-2016 (urobil som z toho samostatnú aplikáciu), FSTEC of Russia Information Security Threats Databank (BDU).
Mimochodom, všimol som si, že niektoré hrozby z 3889-U duplikujú hrozby z NOS:
- hrozba vystavenia škodlivému kódu mimo informačného systému osobných údajov - UBI.167, UBI.172, UBI.186, UBI.188, UBI.191;
- ohrozenie používania metód sociálneho inžinierstva osobám s právomocami v informačnom systéme osobných údajov - UBI.175;
- hrozba neoprávneného prístupu k osobným údajom osôb, ktoré nemajú oprávnenie v informačnom systéme osobných údajov, využívaním zraniteľností v softvéri informačného systému osobných údajov - UBI.192;
V tejto súvislosti som vylúčil duplicitné hrozby z 3889-U v prospech UBI, od r ich popis obsahuje doplňujúce informácie, ktoré uľahčujú vypĺňanie tabuliek s modelom hrozby a hodnotením rizika informačnej bezpečnosti.
Aktuálne hrozby zdroj ohrozenia "Nepriaznivé udalosti prírodného, človekom spôsobeného a sociálneho charakteru"štatistiky Ministerstva pre mimoriadne situácie Ruskej federácie o mimoriadnych situáciách a požiaroch.
Aktuálne hrozby zdroj hrozieb "Teroristi a zločinci" možno určiť na základe štatistík Ministerstva vnútra Ruskej federácie o stave kriminality a bulletinu „Zločiny v bankovom sektore“.
V tejto fáze sme identifikovali zdroje hrozieb informačnej bezpečnosti a aktuálne hrozby informačnej bezpečnosti. Teraz prejdime k vytvoreniu tabuľky s modelom hrozby IS.
Ako základ som si zobral tabuľku „Odvetvový model ohrozenia bezpečnosti osobných údajov“ z RS BR IBBS-2.4-2010. Stĺpce „Zdroj ohrozenia“ a „Úroveň realizácie ohrozenia“ sú vyplnené v súlade s požiadavkami bodov 6.7 a 6.9 STO BR IBBS-1.0-2014. Zostali nám prázdne kolónky „Typy objektov prostredia“ a „Bezpečnostná hrozba“. To posledné som premenoval na „Dôsledky implementácie hrozby“, ako v NDU (podľa mňa je to správnejšie). Na ich vyplnenie potrebujeme popis našich hrozieb zo strany NOS.
Ako príklad zvážte „UBI.192: Hrozba používania zraniteľných verzií softvéru“:
Popis hrozby: hrozba spočíva v možnosti deštruktívneho vplyvu na systém zo strany narušiteľa zneužitím softvérových zraniteľností. Táto hrozba je spôsobená slabými miestami v mechanizmoch na analýzu zraniteľností softvéru. Implementácia tejto hrozby je možná, ak softvér nie je skontrolovaný na zraniteľnosť pred použitím softvéru.
Zdroje ohrozenia: vnútorný narušiteľ s nízkym potenciálom; externý narušiteľ s nízkym potenciálom.
Predmet vplyvu: aplikačný softvér, sieťový softvér, systémový softvér.
Dôsledky realizácie hrozby: porušenie dôvernosti, porušenie integrity, porušenie dostupnosti.
Pre pohodlie som rozdal typy objektov prostredia(objekty vplyvu) podľa úrovní realizácie hrozby ( úrovne informačnej infraštruktúry banky).
Prejdite objekty prostredia Zostavil som z bodu 7.3 RS BR IBBS-2.9-2016, bodu 4.5 RS BR IBBS-2.2-2009 a z popisu UBI. Úrovne realizácie hrozieb sú uvedené v článku 6.2 STO BR IBBS-1.0-2014.
To. Táto hrozba ovplyvňuje nasledujúce úrovne: úroveň sieťových aplikácií a služieb; úroveň bankových technologických procesov a aplikácií.
To isté som urobil s inými hrozbami informačnej bezpečnosti.
Výsledkom je takáto tabuľka.
Ako asi viete, v poslednom období došlo k nejednoznačným zmenám v príkaze FSTEC č. 17 „Požiadavky na ochranu informácií neobsahujúcich štátne tajomstvo obsiahnutých v štátnych informačných systémoch“, pri ktorých sú otázky a problémy s ich aplikáciou. Dnes si rozoberieme jeden z týchto problémov:
Teraz je pri modelovaní hrozieb potrebné použiť „novú“ FSTEC RF BDU a nepredpokladá sa žiadna nová metodika modelovania hrozieb. Ďalšie detaily ...
V súlade s odsekom 14 objednávky je pôvabnou fázou tvorby požiadaviek na ochranu informácií v GIS:
“identifikácia hrozieb informačnej bezpečnosti, ktorej realizácia môže viesť k narušeniu informačnej bezpečnosti v informačnom systéme, a vypracovanie na ich základe modely hrozieb informačná bezpečnosť; "
V skutočnosti ide o dve samostatné práce, pričom požiadavky na každú z nich sú podrobne uvedené v bode 14.3 objednávky:
I. Identifikácia hrozieb
“14.3. Ohrozenie informačnej bezpečnosti sú určené podľa výsledkov posudzovanie príležitostí(potenciálne) vonkajšie a vnútorné porušovateľov, analýza možné zraniteľnosti informačný systém, možné spôsoby implementácie ohrozenia informačnej bezpečnosti a dôsledky pred porušením vlastností informačnej bezpečnosti (dôvernosť, integrita, dostupnosť).
Databanka hrozieb informačnej bezpečnosti ( bdu.fstec.ru) …”
II. Vývoj modelu hrozby
„Model ohrozenia bezpečnosti informácií by mal obsahovať popis informačný systém a jeho štrukturálne a funkčné charakteristiky ako aj popis vyhrážky informačnej bezpečnosti vrátane popisu príležitosti pre páchateľov(model narušiteľa), možné zraniteľnosti informačný systém, spôsoby implementácie hrozieb informačnú bezpečnosť a dôsledky z porušenia vlastností informačnej bezpečnosti "
Je možné v tomto prípade použiť ľubovoľné metódy? nie…
"Pre identifikovať hrozby informačná bezpečnosť a vývoj modelu hrozby informačnú bezpečnosť metodických dokumentov vyvinuté a schválené FSTEC Ruska”
III. Poďme zistiť, ktorý metodický dokument by sa mal použiť? Podľa akého dokumentu má štátny orgán od zhotoviteľa práce požadovať?
Jediným schváleným a zverejneným metodickým dokumentom FSTEC Ruska z hľadiska modelovania hrozieb je „Metodika zisťovania skutočných ohrození bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov. FSTEC Ruska, 2008 “. Nazvime to „stará technika“. (Existuje aj schválený, ale nezverejnený dokument - "Metodika na zisťovanie skutočných hrozieb pre informačnú bezpečnosť v systémoch kľúčovej informačnej infraštruktúry", schválený FSTEC Ruska 18.5.2007, ale nebudeme o ňom uvažovať).
Podľa neformálnych informácií netreba v blízkej budúcnosti očakávať „novú“ metodiku pre GIS. Potom sa musíte rozhodnúť pre "starú" metódu. Potrebujem a môžem ho použiť? Existuje niekoľko dôvodov proti používaniu tejto techniky:
Najprv:„Stará“ metodika je určená len na identifikáciu hrozieb pre PD a ISPD. Uvažujeme o štátnych informačných systémoch, ktoré nemusia byť vždy osobnými údajmi. Požiadavky Objednávky sa vzťahujú aj na ďalšie informácie v GIS, vrátane verejne dostupných informácií a informácií podliehajúcich povinnému zverejňovaniu.
po druhé:„Stará“ metodika bola vypracovaná na základe nariadenia vlády č. 781, ktoré už bolo zrušené. V právnej praxi zároveň platí nasledovné všeobecné pravidlo „Uznanie, že hlavný regulačný právny akt stratil svoju právnu silu, znamená stratu právnej sily odvodených a vedľajších regulačných právnych aktov, pokiaľ nie je uvedené inak.“... To znamená, že stratil svoju právnu silu.
Po tretie:„Stará“ metodológia je navrhnutá tak, aby určila skutočné hrozby – „Hrozba, ktorú možno implementovať v ISPD a predstavuje nebezpečenstvo pre PD" a v súlade s Objednávkou sme povinní určiť „Hrozby informačnej bezpečnosti, ktorých implementácia môže viesť k porušeniu informačná bezpečnosť "... Súhlaste s tým, že existuje rozdiel a tieto pojmy nie sú totožné.
po štvrté: Usmerňovací dokument by mal pokrývať aj druhú časť práce – menovite opísať, ako sa vyvíja dokument s názvom Model hrozby. V "starej" metóde o tom nie je ani slovo.
Po piate: Podľa nariadenia by sa hrozby mali definovať v závislosti od jedného súboru charakteristík. Zhruba rovnaký súbor charakteristík sa používa v FSTEC BDU. A v „starej“ metodike sa určujú v závislosti od iného súboru. Viac podrobností na obrázku.
Na jednej strane všetky zistenia poukazujú na skutočnosť, že nejde o vhodnú techniku GIS. Na druhej strane existuje jeden závažný argument pre jeho použitie - ide o jedinú schválenú a publikovanú metodiku FSTEC Ruska v oblasti modelovania hrozieb.
PS: Všetky vyššie uvedené argumenty proti používaniu „starej“ metodiky by sa v skutočnosti dali eliminovať vykonaním malých „kozmetických“ aktualizácií metodiky. Zmeniť podmienky, ISPD pre IS, PD pre informáciu atď. + pridať niektoré popisné časti z návrhu „novej“ metodiky + mierne aktualizovať tabuľku pre výpočet počiatočného zabezpečenia. A všetky vzorce na výpočet relevantnosti hrozieb by mohli zostať nezmenené – od roku 2008 sa osvedčili.
Myslím si, že mesiac by na takú malú aktualizáciu metodiky modelovania hrozieb úplne stačil. Ale tri roky sú už priveľa.
Hodnota avatarov v psychológii
Hodnota avatarov v psychológii
Ako zdôrazniť písmeno v MS Word
Čo to znamená, ak je avatar osoby
Ako si vytvoriť svoj vlastný Twitter moment