2. Модель угроз (Разработка профиля защиты информации в сегменте муниципальной информационной системы)
Описание файла
Файл "2. Модель угроз" внутри архива находится в следующих папках: Разработка профиля защиты информации в сегменте муниципальной информационной системы, Usov_AK_2017, 10. Дополнительные_материалы. Документ из архива "Разработка профиля защиты информации в сегменте муниципальной информационной системы", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "2. Модель угроз"
Текст из документа "2. Модель угроз"
Приложение Б.
| УТВЕРЖДАЮ | ||
| Председатель комитета по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края _________________ Н. Г. Канчина « ___ » _______________ 2017 г. |
Модель вероятного нарушителя и угроз безопасности информации, обрабатываемой в комитете по приватизации и управлению имуществом администрации Ванинского муниципального района Хабаровского края
Ванино, 2017 г.
Оглавление
1. Термины и определения 4
2. Обозначения и сокращения 9
3. Общие положения 10
4. Описание информационной системы и особенностей ее функционирования 11
4.1 Цели, задачи и основные характеристики информационной системы 11
4.2 Виды информации, обрабатываемой в МИС «Комитет» 11
4.3 Топология сети «Комитет» 12
4.4 Описание технологии обработки информации 13
4.4.1 Порядок обработки информации 14
4.4.2. Режим обработки информации 14
5. Возможности нарушителей 15
5.1. Типы нарушителей 15
5.1.1. Внешние нарушители 15
5.1.2. Внутренние нарушители 15
5.2 Виды и потенциал нарушителей 15
5.3 Предположения об имеющихся у нарушителя средствах реализации угроз 24
5.4. Описание потенциальных уязвимостей информационной системы, которые 25
5.5 Предположения о возможных способах реализации угроз безопасности информации нарушителем 42
5.6 Оценка уровня проектной защищенности информационной системы 62
6. Определение актуальных угроз безопасности информации 84
6.1 Определение актуальных угроз НСД к информации, обрабатываемой в 84
6.1.1 Возможность реализации угроз безопасности информации в информационной системе 84
6.1.2 Оценка степени возможного ущерба от реализации угроз безопасности информации в «Комитет» 96
6.1.3 Актуальность угроз безопасности информации, реализуемых за счет НСД к информации, обрабатываемой в «Комитет» 100
7. Определение актуальных угроз утечки информации по техническим каналам для «Комитет» 129
7.1. Выявление возможных каналов утечки информации и соответствующих им угроз для «Комитет» 129
7.2. Определение потенциала нарушителя, необходимого для реализации угроз утечки информации по ТКУИ в «Комитет» 132
8. Определение актуальных техногенных угроз безопасности информации относительно «Комитет» 136
8.1. Определение вероятности реализации техногенных угроз безопасности информации в «Комитет» 136
8.2. Определение степени возможного ущерба от реализации техногенных угроз безопасности информации в «Комитет» 138
9. Определение актуальных угроз безопасности информации в случае принятия решения об использовании в информационной системе СКЗИ для обеспечения безопасности конфиденциальной информации 142
9.1 Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных 142
Определение обобщенных возможностей источников атак 142
9.3. Определение уточненных возможностей источников атак 144
9.4. Выбор актуальных и обоснование неактуальных УБИ 146
10. Актуальные угрозы безопасности информации 154
-
Термины и определения
В настоящем документе используются следующие термины и их определения.
Безопасность персональных данных – состояние защищенности персональных дан-ных, характеризуемое способностью пользователей, технических средств и информацион-ных технологий обеспечить конфиденциальность, целостность и доступность персональ-ных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора, системати-зации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или ин-терпретируемый набор инструкций, обладающий свойствами несанкционированного рас-пространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распростране-нию и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления несанк-ционированного доступа и (или) воздействия на персональные данные или ресурсы ин-формационной системы персональных данных.
Вспомогательные технические средства и системы – технические средства и си-стемы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены инфор-мационные системы персональных данных.
Доступ в операционную среду компьютера (информационной системы персо-нальных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации – возможность получения информации и ее использования.
Закладочное устройство – элемент средства съема информации, скрытно внедряе-мый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требовани-ями, устанавливаемыми собственником информации.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциаль-ная информация (персональные данные) обрабатываемая в информационной системе пер-сональных данных.
Информационная система персональных данных (ИСПДн) – информационная си-стема, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осу-ществлять обработку таких персональных данных с использованием средств автоматиза-ции или без использования таких средств.
Информационные технологии – процессы, методы поиска, сбора, хранения, обра-ботки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Использование персональных данных – действия (операции) с персональными дан-ными, совершаемые оператором в целях принятия решений или совершения иных дей-ствий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Источник угрозы безопасности информации – субъект доступа, материальный объ-ект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Контролируемая зона – пространство (территория, здание, часть здания, помеще-ние), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных – обязательное для соблюдения опе-ратором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализую-щее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение без-опасности персональных данных при их обработке техническими средствами в информа-ционных системах персональных данных.
Неавтоматизированная обработка персональных данных – обработка персональ-ных данных, содержащихся в информационной системе персональных данных либо из-влеченных из такой системы, считается осуществленной без использования средств авто-матизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отно-шении каждого из субъектов персональных данных, осуществляются при непосредствен-ном участии человека.
Недекларированные возможности – функциональные возможности средств вычис-лительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к ин-формации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами пер-сональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, обра-зов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных – действия, в результате которых становится невозможно без использования дополнительной информации определить при-надлежность персональных данных конкретному субъекту персональных данных.
Обработка персональных данных – действия (операции) с персональными дан-ными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограни-ченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект защиты информации - информация, или носитель информации, или инфор-мационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации.
Оператор – государственный орган, муниципальный орган, юридическое или физи-ческое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, сред-ства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, зву-коусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки рече-вой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты ин-формации, применяемые в информационных системах.
Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информатив-ных сигналов.
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
