Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 3)

Первый уровень определяет самый низкий уровень возможностей ведения диалога в ИСПДн - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием ИСПДн, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств ИСПДн, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

Исходя из квалификации нарушителя и его технической оснащенности, всех потенциальных нарушителей можно классифицировать по следующим критериям:

По уровню знаний программно-технических средств ИСПДн:

• нарушитель, знающий функциональные особенности, основные закономерности формирования массивов данных и потоков запросов к ним, а также умеющий пользоваться основными техническими средствами и системами;

• нарушитель, обладающий высоким уровнем знаний и опытом работы с программно-техническими средствами, и их обслуживания;

• нарушитель, обладающий высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

• нарушитель, знающий структуру, функции и механизм действия средств защиты информации, их сильные и слабые стороны.

По уровню возможностей (используемым методам и средствам):

• нарушитель, применяющий агентурные методы получения сведений;

• нарушитель, применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

• нарушитель, использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно внесены;

• нарушитель, применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

По времени действия:

• нарушитель, воздействующий на программно-технические средства во время их работы;

• нарушитель, воздействующий на программно-технические средства в период их неактивности (в нерабочее время, во время плановых перерывов в работе, перерывов для обслуживания и ремонта и т.п.);

• нарушитель, воздействующий на программно-технические средства как в процессе их функционирования, так и в период их неактивности.

По месту действия:

• нарушитель, воздействующий на программно-технические средства без доступа в контролируемую зону;

• нарушитель, воздействующий на программно-технические средства с контролируемой зоны без доступа в здания и сооружения и из-за пределов КЗ;

• нарушитель, воздействующий на программно-технические средства внутри помещений;

• нарушитель, воздействующий на программно-технические средства с рабочих мест конечных пользователей (операторов) и обслуживающего персонала;

• нарушитель, воздействующий на программно-технические средства с доступом в зону данных (баз данных, архивов и т.п.);

• нарушитель, воздействующий на программно-технические средства с доступом в зону управления средствами обеспечения безопасности.

По степени опасности для программно-технических средств ИСПДн определена следующая иерархия потенциальных нарушителей:

• внутренние нарушители, обладающие определенными полномочиями и имеющие физический доступ к наиболее важным узлам (сервера, устройства коммутации, и т.д.).

• внутренние нарушители, которые осуществляют деструктивные действия не из злого умысла, а по незнанию, неосторожности или из любопытства.

• внешние нарушители, которые знают внутреннюю структуру программно-технических средств и в состоянии организовать не только атаки на внешние точки, но и осуществлять более разрушительные воздействия исходя из своих знаний о программно-технических средствах, методах защиты, каналах передачи данных и т.д.

• внешние нарушители, которые будут действовать при осуществлении попыток доступа наугад, не имея уверенности в том, каков будет результат.

1. 1.4.1.1 Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированных действий.

Исходя из особенностей функционирования ИСПДн, допущенные к ней физические лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой разрешительной системой доступа.

К внутренним нарушителям могут относиться:

• пользователи ИСПДн – категория В1;

• администраторы ИСПДн – категория В2;

• сотрудники медицинского учреждения, не имеющие права доступа к ПДн – категория В3.

Категория В1 – зарегистрированные пользователи ИСПДН

Нарушители В1 являются штатными сотрудниками медицинского учреждения. Доступ В1 необходим для выполнения ими своих должностных обязанностей, в том числе, для обработки персональных данных. Доступ к персональным данным пользователей регламентирован организационно-распорядительными документами и осуществляется с персональных рабочих мест, входящих в состав ИСПДн.

В качестве меры доверия к данной категории пользователей выступает обязательство о неразглашении персональных данных, которое они принимают под роспись.

Категория В2 – администраторы ИСПДН

Выделяются следующие функциональные уровни администрирования:

• администратор информационной безопасности ИСПДн;

• системный администратор ИСПДн;

Администраторы хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности. Кроме того, они имеют непосредственный доступ к серверному и коммутационному оборудованию ИСПДн. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Администраторы являются привилегированными пользователями информационной системы, которые назначаются из числа особо доверенных лиц и осуществляют обслуживание технических и программных средств, включая их настройку, конфигурирование и распределение прав доступа к ИСПДн между непривилегированными пользователями.

Категория В3 – сотрудники, не имеющие права доступа к ПДН

Нарушителей категории В3 возможно не рассматривать в качестве потенциальных за счет реализации организационно-технических мероприятий по контролю доступа на территорию контролируемой зоны и в помещения ИСПДн.

1.4.1.2 Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности, рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки за счет реализации мер по контролю доступа на территорию КЗ. Данный вид угроз признан неактуальным для ИСПДн в Модели угроз.

К внешним нарушителям могут относиться:

• посетители, имеющие разовый пропуск – категория Б1;

• представители организаций, проводящих работы на территории ИСПДн, в том числе организации, осуществляющие поставку и гарантийное сопровождение технических средств ИСПДн – категория Б2;

• лица, находящиеся за пределами контролируемой зоны и использующие технические средства (в том числе бывшие сотрудники – администраторы или пользователи ИСПДн) – категория Б3.

Таблица 1.4.1.2.1 – Характеристика внешних нарушителей

Окончание таблицы 1.4.1.2.1

Нарушителей Б1, Б2 в соответствии с классификацией, приведенной в Таблице 1.4.1.2.1, возможно не рассматривать в качестве потенциальных в силу организации надежной системы контроля доступа на территорию контролируемой зоны и реализации организационных мер.

Субъекты категории Б3 могут быть хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности. Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

В качестве наиболее вероятных нарушителей ИБ целесообразно рассматривать:

• внутренних нарушителей класса В1 (Зарегистрированный пользователь ИСПДн);

• внешних нарушителей класса Б3 (Лица, находящиеся за пределами контролируемой зоны и использующие технические средства).

Предполагается, что вероятность сговора групп нарушителей минимальна.

1. 2 Разработка методов и способов защиты персональных данных

1. 2.1 Общая информация

ИСПДн «Диспансер» предназначена для обеспечения процесса выполнения функций Учреждения.

Характер обрабатываемой информации – персональные данные.

В рассматриваемой ИСПДн обрабатываются иные категории ПДн.

В ИСПДн «Диспансер» одновременно обрабатываются персональные данные менее 10 тысяч субъектов, являющихся сотрудниками Учреждения, а также персональные данные клиентов, включая специальные категории ПДн. В Учреждении используется только лицензионное ПО, проводится регулярное обновление общесистемного ПО и приложений. Прикладные программы, используемые для обработки ПДн лицензионные, несанкционированному изменению не подвергаются. Антивирусное ПО имеет сертификат ФСТЭК, вирусные базы регулярно обновляются. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении не актуальны для информационной системы Учреждения (Модель нарушителя и угроз безопасности персональных данных при их обработке в информационной системе персональных данных Областного Государственного Казенного Учреждения Здравоохранения "Противотуберкулезный диспансер" г. Биробиджана ИСПДн «Диспансер»). В соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства Российской Федерации № 1119 от 1 ноября 2012г., актуальные угрозы безопасности персональных данных являются угрозами 3-го типа.

Исходя из категорий и объема ПДн, одновременно обрабатываемых в ИСПДн и типа угроз на основании пункта 12 подпункта «б» «Требований к защите персональных данных при их обработке в информационных системах персональных данных» в Учреждении необходимо обеспечить 4-й уровень защищенности персональных данных при их обработке в ИСПДн «Диспансер».

Характеристики

Список файлов ВКР