636331914074638560 (Разработка профиля защиты персональных данных в информационной системе лечебного учреждения), страница 7

Результаты определени я степени возможного ущербаот реализаци 20 и техногенны х угроз безопасности информаци 20 и представлены втаблице 1.16.Таблица 1.16 – Результаты определени я степени возможного ущерба отреализаци 20 и техногенны х угроз безопасности информаци 20 иНазвание угрозыПДн ( 1 Сведения офактах, событияхи обстоятельствахчастной жизнигражданина,позволяющие 71идентифицировать его личность)Сведения, связанные спрофессиональнойдеятельностью( 68 врачебная,нотариальная,адвокатская тайна,тайна переписки, телефонных переговоров,почтовых отправлений,телеграфных или иныхсообщений и т.д 71 ) 44ИтоговаястепеньущербаТУ.003 Угроза отказа и неисправности технических средств,обеспечивающих охрану иконтроль доступаВысокая Высокая ВысокаяТУ.005 Угроза сбояобщесистемного программногообеспеченияНизкая Низкая НизкаяТУ.006 Угроза сбоя прикладного программного обес-печения(сервисных программ,антивир ус-ного программногообеспечения и т 5 .д) или системуправления базами 5 данныхВысокая Высокая ВысокаяДалее производилось определение актуальности техногенных угрозбезопасности информации относительно информационной системыЛечебного учреждения.Результаты определения актуальности техногенных угроз безопасностиинформации относительно информационной системы Лечебного учрежденияпредставлены в таблице 1.17.Таблица 1.17 – Результаты определения актуальности техногенных УБИотносительно информационной системы Лечебного учрежденияНазвание угрозы.

Актуальность угрозыТУ.001 Угроза отказа и неисправноститехнических средств, обрабатывающихинформациюАктуальнаяТУ.002 Угроза отказа и неисправноститехнических средств, обеспечивающихработоспособность средств обработкиинформации (вспомогательных техническихсредств)АктуальнаяТУ.003 Угроза отказа и неисправноститехнических средств, обеспечивающихохрану и контроль доступаАктуальнаяОпределение актуальных угроз безопасности информации в случаепринятия решения об использовании в информационной системе СКЗИ дляобеспечения безопасности конфиденциальной информации.На основании требований руководящих документов ФСБ России[?][?], вкоторых сказа но, что ИСПДн должна обеспеч 24 иваться криптограф ическаязащита персональных дан 22 ных при 22 передаче по каналам связи в 8 сторонниеорганизации и между сегментами ИСПДн, при передаче информации черезсети связи международного информационного обмена.В таблице 1.18 приведены результаты по определению актуальностииспользования СКЗИ в информационной системе Лечебного учрежденияпредставлены в таблице 7.1.1.Таблица 1.18 – Определение актуальности использования СКЗИЗапрос эксперта Да/нетОсуществляется ли передачаконфиденциальной информации по каналамсвязи, не защищенным от перехватанарушителем передаваемой по ниминформации или от несанкционированныхвоздействий на эту информацию (например,при передаче персональных данных поинформационно-телекоммуникационным 26нетсетям общего пользования)? 26Осуществляется ли хранение персональныхданных на носителях информации,несанкционированный доступ к которым состороны нарушителя не может бытьисключен с помощью некриптографическихметодов и способов? 26нетПрименяются ли на настоящий момент в ИССКЗИ для обеспечения безопасности ПДн идругой конфиденциальной информации?даПланируется ли применение СКЗИ дляобеспечения безопасности ПДн и другойконфиденциальной информации?даДалее производилось определение обобщенных возможностей источниковатакОпределение актуальных угроз безопасности информации,обрабатываемой с использованием СКЗИ начинается с определениямаксимальной обобщенной возможности атак относительно информационнойсистемы Лечебного учреждения с учетом условий ее функционирования иреализованных мер защиты.Выбор обобщенных возможностей источников атак обосновываетсярезультатами определения потенциала нарушителя, характерного дляинформационной системы, его способностями реализовать атаку.Определение обобщенных возможностей источников атак представлено втаблице 1.19.Таблица 1.19 – Выбор обобщенных возможностей источников атак дляинформационной системы Лечебного учрежденияОбобщенные возможности источников атакНарушители, способныереализовать возможностьДа/ Нет1 возможность самостоятельноосуществлять создание способов атак,подготовку и проведение атак только запределами контролируемой зоны 26нарушитель с высокимпотенциаломНет2 26 возможность самостоятельноосуществлять создание способов атак,подготовку и проведение атак в пределахконтролируемой зоны, но без физическогодоступа к аппаратным средствам, 26 накоторых реализованы СКЗИ и среда ихфункционирования 26нарушитель с высокимпотенциалом Нет3 26 возможность самостоятельноосуществлять создание способов атак,подготовку и проведение атак в пределахконтролируемой зоны с физическимдоступом к 26 аппаратным средствам, накоторых реализованы СКЗИ и среда ихфункционирования 26нарушитель с базовым (низким) инарушители с базовымповышенным (средним)потенциаломДа4 возможность привлекать специалистов,имеющих опыт разработки и анализа СКЗИ(включая специалистов в области анализасигналов линейной передачи и сигналовпобочного электромагнитного излучения инаводок СКЗИ) 26нарушитель с высокимпотенциаломНет5 возможность привлекать специалистов,имеющих опыт разработки и анализа СКЗИ(включая специалистов в областииспользования для реализации атакнедокументированных возможностейприкладного программного обеспечения) 26нарушитель с высокимпотенциаломНет6 возможность привлекать специалистов,имеющих опыт разработки и анализа СКЗИ(включая специалистов в областииспользования для реализации атакнедокументированных возможностейаппаратного и программного компонентовсреды функционирования СКЗИ) 26нарушитель с высокимпотенциаломНетДалее был определен класс С КЗИ для обеспечения безоп 7 асностиперсональных данных, обрабатываемых в информационной 7 системеЛечебного учреждения.Выбор класса СКЗИ основывается на уровне защищенностиперсональных данных, типе актуальных угроз и возможностях нарушителейдля проведения атак.На основании приказа ФСБ России от 10.07.2014 No 378 " 22 Обутверждении Состава и содержания организационных и технических мер пообеспечению безопасности персональных данных при их обработке винформационных системах персональных данных с 38 использованием средствкриптографической защиты инфо 4 рмации, необ 1 ходимых для выполненияустановленных Правительством Российской Федерации требований к защитеперсональных дан 22 ных [3] для каждого из уровней защищенностиперсональных данных 6 был определен класс СКЗИ КС-2.Далее производилось определение уточненных возможностей источниковатак.С учетом номера максимально выбранной обобщенной возможности атакс номером 3 в таблице 1.19, соответствующего максимально выбраннойобобщенной возможности источников атак в соответствии с таблицей 1.20был отобран перечень уточненных возможностей нарушителей и направленийатак (соответствующих актуальным угрозам), которые должны бытьрассмотрены для информационной системы Лечебного учреждения (поданным таблицы 1.21).В данном случае актуальность относительно информационной системыЛечебного учреждения требуется определить для угроз из диапазона от 1.1 до2.2.Таблица 1.20 – Порядок определения уточненных возможностейнарушителей и направлений атак в соответствии с выбранным номеромобобщенной возможности источников атакМаксимальныйномервыбраннойобобщеннойвозможностиисточниковатакУточненные возможности нарушителей и направленияатак (соответствующие актуальные угрозы)Диапазон, из котороговыбирается хотя бы однаактуальная угрозаНеактуальные1 - от 1.1 до 4.32 от 1.1 до 1.4 от 2.1 до 4.33 от 1.1 до 2.2 от 3.1 до 4.34 43Данная возможность была рассмотрена в ходеопределения возможностей нарушителей по реализацииугроз утечки информации, обрабатываемой техническимисредствами приема, обработки, хранения и передачиинформации5 от 1.1 до 3.3 от 4.1 до 4.36Все уточненные возможности от 1.1 до 4.3 признаютсяактуальными.

Отсутствие актуальных угроз в данномслучае не обосновывается.Таблица 1.21 – Определение уточненных возможностей источников атак всоответствии с выбранным номером обобщенной возможностиисточников атакNoугрозыУточненные возможности нарушителей и направления атак(соответствующие актуальные угрозы) 26Да/нет1.1проведение атаки при нахождении в пределахконтролируемой зонынеактуально1.2проведение атак на этапе эксплуатации СКЗИ на следующиеобъекты:- документацию на СКЗИ и компоненты СФ;- помещения, в которых находится совокупностьпрограммных и технических элементов систем обработки данных,способных функционировать самостоятельно или в составедругих систем (далее - СВТ), на которых реализованы СКЗИ иСФ;неактуально 26Окончание таблицы 1.21NoугрозыУточненные возможности нарушителей и направления атак(соответствующие актуальные угрозы) 26Да/нет1.3получение в рамках предоставленных полномочий, а также врезультате наблюдений следующей информации: 26неактуально- сведений о физических мерах защиты объектов, в которыхразмещены ресурсы информационной системы;- сведений о мерах по обеспечению контролируемой зоныобъектов, в которых размещены ресурсы информационнойсистемы;- сведений о мерах по разграничению доступа в помещения, вкоторых находятся СВТ, на которых реализованы СКЗИ и СФ; 26Выбор актуальных и обоснование неактуальных УБИ.Выбор актуальных и обоснование неактуальных угроз безопасностиинформации основывается на результатах экспертных оценок, в соответствиис которыми для информационной системы Лечебного учрежденияактуальны/неактуальны угрозы, представленные в таблице 1.22.Таблица 1.22 – Выбор актуальных и обоснование неактуальных угрозбезопасности информации для информационной системы ЛечебногоучрежденияNo угрозыУточненныевозможностинарушителей инаправления атак(соответствующиеактуальные угрозы)Актуальностьиспользования(применения)дляпостроения иреализации 26атакОбоснованиеотсутствия/наличиявозможности нарушителей инаправления атак1.1 26проведение атаки принахождении в пределахконтролируемой зоны 26Актуально– на АРМ и серверах, накоторых установлены СКЗИ:– 26 не используютсясертифицированные средствазащиты информации отнесанкционированногодоступа.