Пояснительная записка (Разработка профиля защиты персональных данных в информационной системе лечебного учреждения), страница 5
Описание файла
Файл "Пояснительная записка" внутри архива находится в папке "Разработка профиля защиты персональных данных в информационной системе лечебного учреждения". Документ из архива "Разработка профиля защиты персональных данных в информационной системе лечебного учреждения", который расположен в категории "". Всё это находится в предмете "дипломы и вкр" из 8 семестр, которые можно найти в файловом архиве ДВГУПС. Не смотря на прямую связь этого архива с ДВГУПС, его также можно найти и в других разделах. .
Онлайн просмотр документа "Пояснительная записка"
Текст 5 страницы из документа "Пояснительная записка"
Определение актуальных техногенных угроз безопасности информации относительно информационной системы Лечебного учреждения.
В качестве показателя актуальности техногенных угроз безопасности информации (УБИjА) принимается двухкомпонентный вектор, первый компонент которого характеризует вероятность реализации угрозы (Рj), а второй – степень возможного ущерба в случае ее реализации (Хj)
УБИjА = [вероятность реализации угрозы (Рj); степень ущерба (Хj)]
Определение вероятности реализации техногенных угроз безопасности информации в информационной системе Лечебного учреждения
Вероятность реализации каждой j – ой техногенной угрозы безопасности информации относительно информационной системы определяется на основании количественных показателей, получаемых по результатам отношения количества мер, реализованных в информационной системе для нейтрализации j – ой угрозы к количеству мер, необходимых для её нейтрализации.
Вероятность реализации угрозы Pj рассчитывается на основании формул теории вероятности, – как отношение числа благоприятствующих событию (реализации угрозы) исходов m к общему числу исходов n:
| (1.1) |
Под числом исходов m, благоприятствующих событию реализации j – ой техногенной угрозы понимается количество мер, не реализованных в информационной системе для предотвращения данной угрозы, соответственно общее число исходов n – это общее количество мер, необходимых для реализации в информационной системе в целях предотвращения или нейтрализации j – ой угрозы.
По результатам обследования информационной системы было установлено, что в ней реализуются следующие меры по защите от техногенных угроз безопасности информации:
-
применение лицензионного программного обеспечения;
-
применение систем резервного питания обеспечивающих работу при краткосрочном пропадании электроэнергии (ИБП) и обеспечение возможности корректного завершения работы при долговременном пропадании электроэнергии (электрогенераторы, дублирование линий питания);
-
применение сетевых фильтров электропитания, предотвращающих сбои и отказы технических средств от скачка электропитания.
На основании реализованных мер по защите информации и формулы 1.1 были определены значения вероятностей реализации техногенных угроз относительно информационной системы Лечебного учреждения (таблица 1.15).
Таблица 1.15 – Вероятность реализации техногенных угроз безопасности информации относительно информационной системы Лечебного учреждения
Название угрозы | Число исходов, благоприятствующих реализации угрозы | Общее число исходов | Значение Pj | Вероятность реализации угрозы |
Угроза отказа и неисправности технических средств, обрабатывающих информацию | 3 | 5 | 1 | 0,6 (Высокая) |
Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | 3 | 5 | 1 | 0,6 (Высокая) |
Окончание таблицы 1.15 | ||||
Название угрозы | Число исходов, благоприятствующих реализации угрозы | Общее число исходов | Значение Pj | Вероятность реализации угрозы |
Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | 1 | 3 | 1 | 0,33 (Низкая) |
Далее были определены степени возможного ущерба от реализации техногенных угроз безопасности информации в информационной системе Лечебного учреждения. Результаты определения степени возможного ущерба от реализации техногенных угроз безопасности информации представлены в таблице 1.16.
Таблица 1.16 – Результаты определения степени возможного ущерба от реализации техногенных угроз безопасности информации
Название угрозы | ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) | Сведения, связанные с профессиональной деятельностью (врачебная, нотариальная, адвокатская тайна, тайна переписки, те-лефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д) | Итоговая степень ущерба |
ТУ.003 Угроза отказа и неис-правности технических средств, обеспечивающих охрану и контроль доступа | Высокая | Высокая | Высокая |
ТУ.005 Угроза сбоя общесистемного программного обеспечения | Низкая | Низкая | Низкая |
ТУ.006 Угроза сбоя прикладно-го программного обес-печения (сервисных программ, антивирус-ного программного обеспечения и т.д) или систем управления базами данных | Высокая | Высокая | Высокая |
Далее производилось определение актуальности техногенных угроз безопасности информации относительно информационной системы Лечебного учреждения.
Результаты определения актуальности техногенных угроз безопасности информации относительно информационной системы Лечебного учреждения представлены в таблице 1.17.
Таблица 1.17 – Результаты определения актуальности техногенных УБИ относительно информационной системы Лечебного учреждения
Название угрозы. | Актуальность угрозы |
ТУ.001 Угроза отказа и неисправности технических средств, обрабатывающих информацию | Актуальная |
ТУ.002 Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | Актуальная |
ТУ.003 Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Актуальная |
Определение актуальных угроз безопасности информации в случае принятия решения об использовании в информационной системе СКЗИ для обеспечения безопасности конфиденциальной информации.
На основании требований руководящих документов ФСБ России[13][14], в которых сказано, что ИСПДн должна обеспечиваться криптографическая защита персональных данных при передаче по каналам связи в сторонние организации и между сегментами ИСПДн, при передаче информации через сети связи международного информационного обмена.
В таблице 1.18 приведены результаты по определению актуальности использования СКЗИ в информационной системе Лечебного учреждения представлены в таблице 7.1.1.
Таблица 1.18 – Определение актуальности использования СКЗИ
Запрос эксперта | Да/нет |
Осуществляется ли передача конфиденциальной информации по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования)? | нет |
Осуществляется ли хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов? | нет |
Применяются ли на настоящий момент в ИС СКЗИ для обеспечения безопасности ПДн и другой конфиденциальной информации? | да |
Планируется ли применение СКЗИ для обеспечения безопасности ПДн и другой конфиденциальной информации? | да |
Далее производилось определение обобщенных возможностей источников атак
Определение актуальных угроз безопасности информации, обрабатываемой с использованием СКЗИ начинается с определения максимальной обобщенной возможности атак относительно информационной системы Лечебного учреждения с учетом условий ее функционирования и реализованных мер защиты.
Выбор обобщенных возможностей источников атак обосновывается результатами определения потенциала нарушителя, характерного для информационной системы, его способностями реализовать атаку.
Определение обобщенных возможностей источников атак представлено в таблице 1.19.
Таблица 1.19 – Выбор обобщенных возможностей источников атак для информационной системы Лечебного учреждения
Обобщенные возможности источников атак | Нарушители, способные реализовать возможность | Да/Нет |
1 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны | нарушитель с высоким потенциалом | Нет |
2 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | нарушитель с высоким потенциалом | Нет |
3 возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | нарушитель с базовым (низким) и нарушители с базовым повышенным (средним) потенциалом | Да |
4 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) | нарушитель с высоким потенциалом | Нет |
5 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) | нарушитель с высоким потенциалом | Нет |
6 возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) | нарушитель с высоким потенциалом | Нет |
Далее был определен класс СКЗИ для обеспечения безопасности персональных данных, обрабатываемых в информационной системе Лечебного учреждения.
Выбор класса СКЗИ основывается на уровне защищенности персональных данных, типе актуальных угроз и возможностях нарушителей для проведения атак.
На основании приказа ФСБ России от 10.07.2014 № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных [3] для каждого из уровней защищенности персональных данных был определен класс СКЗИ КС-2.
Далее производилось определение уточненных возможностей источников атак.