636329067387170199 (1208537), страница 6

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 6)

рисунок А1 Приложение А );Все кабинеты, где обрабатываются и хранятся ПДн, имеют двери,запирающиеся на ключ. Съемные носители персональных данных хранятся вметаллических и обычных шкафах, запираемых на ключ. На окнах кабинетовустановлены непрозрачные жалюзи.Границами контролируемой зоны ИСПДн являются стены помещения (см.рисунок А2 Приложения А).Во взаимодействие с иными информационными системами используются30сертифицированные криптографические средства «КриптоПро CSP» и ПК«Континент-АП».Антивирусная защита осуществляется с применениемсертифицированного ПО « Антивирус Касперсого 6.0 для WindowsWorkstation».

Обновление антивирусных баз происходит ежедневно свнутреннего ресурса компании.Для обеспечения безопасности в беспроводных сетях, используютсянесертифицированные методы безопасности роутера ASUS RT-N66U, такиекак шифрование трафика WEP, WPA, WPA2 и наличие Firewall.1.2 Классификация информационной системы персональных данныхОбеспечение безопасности ПДн осуществляется реализацией перечнятехнических и организационных мер обеспечения безопасности, которыеопределяются нормативно-методической документацией ФСТЭК России иФСБ России.

Перечень технических и организационных мер зависит отопределенного для информационной системы уровня защищенности ПДн.В 12 соответствии с Требованиями к защите персональных данных при ихобработке в информационных системах персональных данных,утвержденных постановлением Правительства Российской Федерации от01.11.2012 г. 25 No1119, определяется четыре уровня защищенности ПДн отпервого до четвертого.

Самым высоким уровнем защищенности являетсяпервый. Уровень защищенности зависит от 10 следующих показателей:тип актуальных угроз;категория обрабатываемых персональных данных;тип 10 субъектов ПДн, персональные данные которых обрабатываются винформационной системе; 47количество субъектов ПДн, 47 не являющихся сотрудниками оператора.В ходе обследования было выявлено:в системе обрабатываются иная категория персональных данных (не31относятся к специальным, биометрическим и общедоступным).для системы 5 актуальны угрозы, не связанные с наличиемнедокументированных (недекларированных) возможностей в системном иприкладном программном обеспечении, используемом в информационнойсистеме, 24 то есть актуальны угрозы 3 типа. В отделе обрабатываются данныеменее 100 тысяч субъектов персональных данных.Исходя из категорий и объема ПДн, одновременно обрабатываемых всистеме и типа угроз на основании пункта 12 подпункта «б» « Требований кзащите персональных данных при их обработке в информационных системахперсональных данных» 27 необходимо 26 обеспечить 4 18 уровень защищенностиперсональных данных.1.3 5 Модель 6 нарушителя и угроз безопасности ПДн в 6 ИСПДн отдела.1.3.1 Модель вероятного нарушителяВ соответствии с Моделью нарушителя и угроз безопасностиперсональных данных при их обработке в информационной системе 21акционерного общества «Акционерная компания «Железные дороги Якутии»(далее – Модель угроз) (приложение Б), наиболее вероятными нарушителямиявляются:лица, зашедшие в здание компании, лица, находящиеся близ зданиякомпании, бывшие сотрудники, знакомые и родственники сотрудников(внешние нарушители);пользователи ИСПДн (внутренние нарушители).С учетом указанных видов нарушителей был определен потенциалнарушителя – базовый (низкий).Наиболее вероятными целями (мотивацией) реализации угроз дляуказанных видов нарушителей являются:любопытство или желание самореализации (подтверждение статуса);причинение имущественного ущерба путем мошенничества или иным 3032преступным путем;месть за ранее совершенные действия.С 30 целью создания определенного запаса прочности предполагается, что 33нарушитель владеет всей необходимой информацией, достаточныминавыками и знаниями для реализации угроз, а также обладает всемисредствами реализации угроз, соответствующими потенциалу нарушителя.1.3.2 Модель угрозУгрозами безопасности ПДн при их обработке в ИСПДн считается рядусловий и факторов, которые создают опасность несанкционированного, атакже случайного, доступа к персональным данным, в 21 результате 26 чегоинформация может быть уничтожена, изменена, заблокирована, скопирована,незаконно распространена.Определение актуальных угроз производилось в модели угроз(приложение Б).В соответствии с Моделью угроз, актуальными угрозами дляинформационной системы персональных данных 2 отдела являются:Угрозы безопасности информации, 2 реализуемые за счет НСД кинформационной системеУгроза аппаратного сброса пароля BIOS ;Угроза деавторизации санкционированного клиента беспроводной сети;Угроза использования альтернативных путей доступа к ресурсам;Угроза использования слабостей протоколов сетевого/локальногообмена данными;Угроза неправомерного ознакомления с защищаемой информациейУгроза неправомерных действий в каналах связи;Угроза несанкционированного доступа к системе по беспроводнымканалам; 11Угроза подключения к беспроводной сети в обход процедуры 1133аутентификации;Угроза 11 подмены беспроводного клиента или точки доступа;Угроза 11 приведения системы в состояние «отказ в обслуживании»;Угроза утраты вычислительных ресурсов;Угроза изменения компонентов системы;Угроза длительного удержания вычислительных ресурсовпользователями;Угроза доступа к защищаемым файлам с использованием обходногопути;Угроза избыточного выделения оперативной памяти;Угроза нарушения целостности данных кеша;Угроза несанкционированного выключения или обхода механизмазащиты от записи в 2 BIOS;Угроза несанкционированного доступа к 11 аутентификационнойинформации;Угроза несанкционированного изменения аутентификационнойинформации;Угроза несанкционированного редактирования реестра;Угроза несанкционированного создания учётной записи пользователя;Угроза несанкционированного удаления защищаемой информации;Угроза несанкционированного управления буфером;Угроза обхода некорректно настроенных механизмов аутентификации;Угроза перезагрузки аппаратных и программно-аппаратных средстввычислительной техники;Угроза повреждения системного реестра;Угроза подбора пароля BIOS;Угроза подделки записей журнала регистрации событий;Угроза удаления аутентификационной информации;Угроза форматирования носителей информации;Угроза неправомерного шифрования информации;34Угроза несанкционированного использования системных и сетевыхутилит;Угроза несанкционированного изменения параметров настройкисредств защиты информации;Угроза внедрения вредоносного кода в дистрибутив программногообеспечения;Угроза использования уязвимых версий программного обеспечения;Угроза искажения вводимой и выводимой на периферийные устройстваинформации; 2Угроза доступа/перехвата/изменения HTTP cookies;Угроза деструктивного изменения конфигурации/среды окруженияпрограмм;Угроза 11 использования информации идентификации/аутентификации,заданной по умолчанию;Угроза заражения компьютера при посещении неблагонадёжныхсайтов; 11Угроза скрытного включения вычислительного устройства в состав ботсети.Угрозы 11 утечки информации по техническим каналам:Угроза утечки 6 информации по 5 электромагнитному (радио) каналу сиспользованием портативных средств радиоразведки.Техногенные угрозы безопасности информации:Угроза отказа и неисправности технических средств, обрабатывающихинформацию;Угроза отказа и неисправности технических средств, обеспечивающихработоспособность средств обработки информации (вспомогательныхтехнических средств);Угроза отказа и неисправности технических средств, обеспечивающихохрану и контроль доступа;Угрозы безопасности информации в случае принятия решения об35использовании в информационной системе 27 СКЗИ для обеспечениябезопасности 27 конфиденциальной информации:Проведение атаки при нахождении в пределах контролируемой зоны; 27Использование штатных средств 27 ИС, ограниченное мерами,реализованными в информационной системе, в которой используется СКЗИ,и направленными на предотвращение и пресечение несанкционированныхдействий.

27Согласно базовой модели угроз 6 персональных данных при их обработке винформационных системах персональных данных, утвержденнойЗаместителем директора ФСТЭК России 15.02.2008 г., 21 угроза безопасностиинформации 8 является актуальной, если для информационной системы с 10заданными структурно-функциональными характеристиками и 10особенностями функционирования существует вероятность реализациирассматриваемой угрозы, и ее реализация приведет к неприемлемымнегативным последствиям (ущербу) от нарушения конфиденциальности,целостности или доступности информации. 30Для оценки возможности реализации угрозы 3 определялись двапоказателя: уровень исходной ( 30 проектной) защищенности ИСПДн ивероятность реализации рассматриваемой угрозы.Под уровнем 30 проектной защищенности ИСПДн понимается обобщенныйпоказатель, зависящий от технических и эксплуатационных характеристикИСПДн, приведенных в таблице 1.1Таблица 1.1 – Показатели, 2 характеризующие проектную защищенностьинформационной системыСтруктурно-функциональные характеристикиинформационной системы, условия еёэксплуатацииУровень защищенностиВысокий Средний НизкийПо территориальному размещениюлокальная ИСПДн, развернутая в пределаходного здания+ 636По наличию соединения с сетями общего пользованияИСПДн, имеющая одноточечный выход в сетьобщего пользования+По встроенным (легальным) операциям с записями баз персональных данных 6чтение, поиск, запись, удаление, сортировка, 10модификация, передача+По разграничению доступа к персональным даннымИСПДн, к которой имеют доступопределенные перечнем сотрудникиорганизации, являющейся владельцем ИСПДн+По наличию соединений с другими базами ПДн иных ИСПДнИСПДн, в которой используется одна базаПДн, принадлежащая организации –владельцу данной ИСПДн+По уровню обобщения (обезличивания) ПДнИСПДн, в которой предоставляемыепользователю данные не являютсяобезличенными (т.е.

присутствуетинформация, позволяющая идентифицироватьсубъекта ПДн)+По объему ПДн, которые 12 представляются сторонним пользователям ИСПДнбез предварительной обработкиИСПДн, 30 представляющая часть ПДн +В таблице 1.2 представлены значения характеристик в процентномсоотношении.Таблица 1.2 – Значения характеристик в процентном соотношении.Значение характеристики(уровень защищенности)КоличествозначенийПроцент значений нениже данного уровняВысокий 1 14%Средний 4 56%Низкий 2 28% 10Вывод: В соответствии с методикой определения актуальных угроз 10ИСПДн имеет низкую степень защищенности в связи с тем, что уровню не37ниже среднего не соответствуют более 70% характеристик.Уровню исходной защищенности ставится в соответствие числовойкоэффициент Y1, а именно:для высокой степени исходной защищенности – 0;для средней степени исходной защищенности – 5;для низкой степени исходной защищенности – 10.В 3 соответствии с таблицей 1.2 и выводом, коэффициент Y1 = 10.Для определения актуальных угроз безопасности информации для каждойугрозы определялся числовой коэффициент Y2, соответствующий еёвероятности.Учитывая вышеизложенное, коэффициент возможности реализацииугрозы Yбудет определяться по формуле (1.1):Y = (Y1 + Y2) / 20, (1.1)где Y1 = 10 (низкий уровень защищенности),Y2 – коэффициент вероятности угрозы.По значению коэффициента 12 возможности реализации угрозыформировалась вербальная интерпретация реализуемости угрозы.

Характеристики

Список файлов ВКР