Пояснительная записка (1208543), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Границами контролируемой зоны ИСПДн являются стены помещения (см. рисунок А2 Приложения А).

Во взаимодействие с иными информационными системами используются сертифицированные криптографические средства «КриптоПро CSP» и ПК «Континент-АП».

Антивирусная защита осуществляется с применением сертифицированного ПО « Антивирус Касперсого 6.0 для Windows Workstation». Обновление антивирусных баз происходит ежедневно с внутреннего ресурса компании.

Для обеспечения безопасности в беспроводных сетях, используются несертифицированные методы безопасности роутера ASUS RT-N66U, такие как шифрование трафика WEP, WPA, WPA2 и наличие Firewall.

1. Классификация информационной системы персональных данных

Обеспечение безопасности ПДн осуществляется реализацией перечня технических и организационных мер обеспечения безопасности, которые определяются нормативно-методической документацией ФСТЭК России и ФСБ России. Перечень технических и организационных мер зависит от определенного для информационной системы уровня защищенности ПДн.

В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 , определяется четыре уровня защищенности ПДн от первого до четвертого. Самым высоким уровнем защищенности является первый. Уровень защищенности зависит от следующих показателей:

• тип актуальных угроз;

• категория обрабатываемых персональных данных;

• тип субъектов ПДн, персональные данные которых обрабатываются в информационной системе;

• количество субъектов ПДн, не являющихся сотрудниками оператора.

В ходе обследования было выявлено:

• в системе обрабатываются иная категория персональных данных (не относятся к специальным, биометрическим и общедоступным);

• для системы актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе, то есть актуальны угрозы 3 типа. В отделе обрабатываются данные менее 100 тысяч субъектов персональных данных.

Исходя из категорий и объема ПДн, одновременно обрабатываемых в системе и типа угроз на основании пункта 12 подпункта «б» «Требований к защите персональных данных при их обработке в информационных системах персональных данных» необходимо обеспечить 4 уровень защищенности персональных данных.

1. Модель нарушителя и угроз безопасности ПДн в ИСПДн отдела.

1. Модель вероятного нарушителя

В соответствии с Моделью нарушителя и угроз безопасности персональных данных при их обработке в информационной системе акционерного общества «Акционерная компания «Железные дороги Якутии» (далее – Модель угроз) (приложение Б), наиболее вероятными нарушителями являются:

• лица, зашедшие в здание компании, лица, находящиеся близ здания компании, бывшие сотрудники, знакомые и родственники сотрудников (внешние нарушители);

• пользователи ИСПДн (внутренние нарушители).

С учетом указанных видов нарушителей был определен потенциал нарушителя – базовый (низкий).

Наиболее вероятными целями (мотивацией) реализации угроз для указанных видов нарушителей являются:

• любопытство или желание самореализации (подтверждение статуса);

• причинение имущественного ущерба путем мошенничества или иным преступным путем;

• месть за ранее совершенные действия.

С целью создания определенного запаса прочности предполагается, что нарушитель владеет всей необходимой информацией, достаточными навыками и знаниями для реализации угроз, а также обладает всеми средствами реализации угроз, соответствующими потенциалу нарушителя.

1. Модель угроз

Угрозами безопасности ПДн при их обработке в ИСПДн считается ряд условий и факторов, которые создают опасность несанкционированного, а также случайного, доступа к персональным данным, в результате чего информация может быть уничтожена, изменена, заблокирована, скопирована, незаконно распространена.

Определение актуальных угроз производилось в модели угроз (приложение Б).

В соответствии с Моделью угроз, актуальными угрозами для информационной системы персональных данных отдела являются:

Угрозы безопасности информации, реализуемые за счет НСД к информационной системе

• угроза аппаратного сброса пароля BIOS ;

• угроза деавторизации санкционированного клиента беспроводной сети;

• Угроза использования альтернативных путей доступа к ресурсам;

• Угроза использования слабостей протоколов сетевого/локального обмена данными;

• Угроза неправомерного ознакомления с защищаемой информацией

• Угроза неправомерных действий в каналах связи;

• Угроза несанкционированного доступа к системе по беспроводным каналам;

• Угроза подключения к беспроводной сети в обход процедуры аутентификации;

• Угроза подмены беспроводного клиента или точки доступа;

• Угроза приведения системы в состояние «отказ в обслуживании»;

• Угроза утраты вычислительных ресурсов;

• Угроза изменения компонентов системы;

• Угроза длительного удержания вычислительных ресурсов пользователями;

• Угроза доступа к защищаемым файлам с использованием обходного пути;

• Угроза избыточного выделения оперативной памяти;

• Угроза нарушения целостности данных кеша;

• Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS;

• Угроза несанкционированного доступа к аутентификационной информации;

• Угроза несанкционированного изменения аутентификационной информации;

• Угроза несанкционированного редактирования реестра;

• Угроза несанкционированного создания учётной записи пользователя;

• Угроза несанкционированного удаления защищаемой информации;

• Угроза несанкционированного управления буфером;

• Угроза обхода некорректно настроенных механизмов аутентификации;

• Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;

• Угроза повреждения системного реестра;

• Угроза подбора пароля BIOS;

• Угроза подделки записей журнала регистрации событий;

• Угроза удаления аутентификационной информации;

• Угроза форматирования носителей информации;

• Угроза неправомерного шифрования информации;

• Угроза несанкционированного использования системных и сетевых утилит;

• Угроза несанкционированного изменения параметров настройки средств защиты информации;

• Угроза внедрения вредоносного кода в дистрибутив программного обеспечения;

• Угроза использования уязвимых версий программного обеспечения;

• Угроза искажения вводимой и выводимой на периферийные устройства информации;

• Угроза доступа/перехвата/изменения HTTP cookies;

• Угроза деструктивного изменения конфигурации/среды окружения программ;

• Угроза использования информации идентификации/аутентификации, заданной по умолчанию;

• Угроза заражения компьютера при посещении неблагонадёжных сайтов;

• Угроза скрытного включения вычислительного устройства в состав бот-сети.

Угрозы утечки информации по техническим каналам:

• Угроза утечки информации по электромагнитному (радио) каналу с использованием портативных средств радиоразведки.

Техногенные угрозы безопасности информации:

• Угроза отказа и неисправности технических средств, обрабатывающих информацию;

• Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств);

• Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа;

Угрозы безопасности информации в случае принятия решения об использовании в информационной системе СКЗИ для обеспечения безопасности конфиденциальной информации:

• Проведение атаки при нахождении в пределах контролируемой зоны;

• Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.

Согласно базовой модели угроз персональных данных при их обработке в информационных системах персональных данных, утвержденной Заместителем директора ФСТЭК России 15.02.2008 г. , угроза безопасности информации является актуальной, если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы, и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

Для оценки возможности реализации угрозы определялись два показателя: уровень исходной (проектной) защищенности ИСПДн и вероятность реализации рассматриваемой угрозы.

Под уровнем проектной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.1.

Таблица 1.1 – Показатели, характеризующие проектную защищенность информационной системы

В таблице 1.2 представлены значения характеристик в процентном соотношении.

Таблица 1.2 – Значения характеристик в процентном соотношении.

Вывод: В соответствии с методикой определения актуальных угроз ИСПДн имеет низкую степень защищенности в связи с тем, что уровню не ниже среднего не соответствуют более 70% характеристик.

Уровню исходной защищенности ставится в соответствие числовой коэффициент Y₁, а именно:

• для высокой степени исходной защищенности – 0;

• для средней степени исходной защищенности – 5;

• для низкой степени исходной защищенности – 10.

В соответствии с таблицей 1.2 и выводом, коэффициент Y₁ = 10.

Для определения актуальных угроз безопасности информации для каждой угрозы определялся числовой коэффициент Y_2, соответствующий её вероятности.

Учитывая вышеизложенное, коэффициент возможности реализации угрозы Y будет определяться по формуле (1.1):

Y = (Y1 + Y2) / 20, (1.1)

Характеристики

Список файлов ВКР