2.Модель угроз (1208533), страница 2
Текст из файла (страница 2)
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п
Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность, связанную с утечкой информации и/или непреднамеренными воздействиями на нее.
Учетная запись пользователя – набор данных, однозначно идентифицирующих пользователя в системе, совокупность прав и привилегий доступа к объектам и набор квот системных ресурсов.
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
2.Принятые сокращения
| АВС | – | антивирусные средства |
| АРМ | – | автоматизированное рабочее место |
| АС | – | автоматизированная система |
| ГИС | – | государственная информационная система |
| ГОСТ | – | государственный стандарт |
| ДСП | – | для служебного пользования |
| ИБ | – | информационная безопасность |
| ИСПДн | – | информационная система, обрабатывающая персональные данные |
| КЗ | – | контролируемая зона |
| ИТ | – | информационные технологии |
| ЛВС | – | локальная вычислительная сеть |
| НДВ | – | не декларированные возможности |
| НЖМД | – | накопитель на жестких магнитных дисках |
| НСД | – | несанкционированный доступ |
| ОЗУ | – | оперативное запоминающее устройство |
| ОПО | – | общесистемное программное обеспечение |
| ОС | – | операционная система |
| ОТСС | – | основные технические средства и системы |
| ПДн | – | персональные данные |
| ПК | – | программный комплекс |
| ПО | – | программное обеспечение |
| ПС | – | программные средства |
| ПТС | – | программно-технические средства |
| ПЭВМ | – | персональная электронно-вычислительная машина |
| РД | – | руководящий документ |
| СВТ | – | средства вычислительной техники |
| СЗИ | – | система защиты информации |
| СКЗИ | – | средства криптографической защиты информации |
| СПО | – | специальное программное обеспечение |
| СрЗИ | – | средства защиты информации |
| ТЗ | – | техническое задание |
| ТС | – | технические средства |
| ТП | – | технический проект |
| ФСБ | – | Федеральная служба безопасности |
| ФСТЭК | – | Федеральная служба технического и экспортного контроля |
3.Общие положения
Настоящий документ подготовлен в рамках выполнения работ по анализу угроз безопасности персональных данных в информационной системы персональных данных отдела бухгалтерского учета и отчетности, который является структурным подразделением в акционерном обществе «Акционерная компания «Железные дороги Якутии» и подчиняется генеральному директору компании.
Настоящий документ содержит частную модель угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных (далее – ИСПДн) отдела бухгалтерского учета и отчетности (далее – модель угроз).
Модель угроз – документ, использующийся для:
-
выполнения работ по обеспечению безопасности ПДн;
-
разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего уровня защищенности ИСПДн;
-
проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
-
недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
-
контроля обеспечения уровня защищенности персональных данных.
В процессе развития информационной системы персональных данных отдела предполагается конкретизировать и пересматривать модель угроз.
Разработка модели угроз — необходимое условие для дифференцированного подхода к защите ПДн при их обработке в ИСПДн, и направлена на определение актуальных УБПДн в ИСПДн и мероприятий, направленных на их нейтрализацию.
Модель угроз безопасности ИСПДн отдела разработана в соответствии со следующими нормативными методическими документами и национальными стандартами:
-
Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
-
Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных»;
-
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской федерации от 01.11.2012 г. №1119;
-
Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
-
Перечень мер, направленных на обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», утвержденный постановлением Правительства Российской Федерации от 21.03.2012 г. №211;
-
Методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный Заместителем директора ФСТЭК России 14 февраля 2008 г.;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
-
«Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года № 149/6/6-622);
-
«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/54-144)
-
Приказ ФАПСИ от 13 июня 2001 г. №152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
Источниками, на основе которых определяются актуальные угрозы, являются:
-
Банк данных угроз безопасности информации, разработанный ФСТЭК России;
-
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена 15.02.2008 г. заместителем директора ФСТЭК России);
4.Описание информационной системы и особенностей её функционирования
4.1.Цель и задачи, решаемые информационной системой
ИСПДн отдела бухгалтерского учета и отчетности позволяет осуществлять сбор, хранение, использование и уничтожение персональных данных работников в базе данных, с целью ведения учета хозяйственной деятельности и отдельных аспектов кадрового делопроизводства, проведения расчетов заработных плат сотрудников, формирования различных внутренних отчетов, изменения и создания первичных и отчетных документов по аспектам кадрового делопроизводства.
Основными задачами отдела бухгалтерского учета и отчетности являются:
1.Формирование полной и достоверной информации о хозяйственных процессах и результатах деятельности предприятия, необходимой для оперативного руководства и управления, а также для использования налоговыми и банковскими органами, инвесторами, поставщиками, покупателями, кредиторами и иными заинтересованными организациями и лицами;
2. Обеспечения контроля за наличием и движением имущества и рациональным использованием производственных ресурсов в соответствии с утвержденными нормами, нормативами и сметами;
3. Своевременное предупреждение негативных явлений в хозяйственно-финансовой деятельности;
4. Выявление внутрипроизводственных резервов, их мобилизация и эффективное использование;
5. Оценка фактического использования выявленных резервов.
4.2.Описание структурно-функциональных характеристик информационной системы
Таблица 1– Параметры информационной системы отдела
| Наименование параметра | Значение |
| Структура информационной системы | Локальная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах одной контролируемой зоны |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Иные категории ПДн |
| Вид доступа | Применяется технология беспроводного доступа |
4.4.Топология ИСПДн отдела бухгалтерского учета и отчетности.
Топология сети ИСПДн отдела бухгалтерского учета и отчетности приведена в приложении А. Территориальное расположение элементов ИСПДн относительно границ контролируемой зоны представлено в приложении Б.
4.3.Категория и объем обрабатываемых персональных данных
В системе обрабатываются иные категории персональных данных (не относятся к специальным, биометрическим и общедоступным).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
