Модель угроз (1209940)
Текст из файла
Приложение Б
МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ
БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ В СИСТЕМЕ ВИДЕОНАБЛЮДЕНИЯ УПРАВЛЕНИЯ ДВЖД
г. Хабаровск – 2017
Оглавление
Термины и определения 4
Принятые сокращения 8
Нормативно-методическое обеспечение 9
1 Общие положения 11
2 Основные характеристики системы видеонаблюдения 12
3 Классификация угроз безопасности видеоинформации 15
4 Модель нарушителя безопасности видеоинформации 16
4.1 Определение типов и видов нарушителей, их целей 17
4.2 Определение потенциала нарушителей 20
5 Способы реализации угроз безопасности видеоинформации 24
6 Уязвимости системы видеонаблюдения 25
7 Актуальные угрозы безопасности видеоинформации, реализуемые за счет несанкционированного доступа 26
7.1 Определение перечня угроз безопасности видеоинформации 26
7.2 Определение возможности реализации угроз безопасности 46
7.3 Определение степени возможного ущерба от реализации угроз безопасности 52
7.4 Определение актуальных угроз безопасности видеоинформации 56
8 Актуальные угрозы безопасности видеоинформации, реализуемые за счёт технических каналов утечки информации 59
8.1 Определение перечня угроз безопасности видеоинформации 59
8.2 Определение потенциала нарушителя для реализации угроз безопасности 61
8.3 Определение возможности реализации угроз безопасности 65
8.4 Определение степени ущерба от реализации угроз безопасности 68
8.5 Актуальные угрозы утечки видеоинформации по техническим каналам 70
9 Актуальные техногенные угрозы безопасности видеоинформации 71
9.1 Определение перечня техногенных угроз 71
9.2 Определение вероятности реализации техногенных угроз 72
9.3 Определение степени ущерба от реализации техногенных угроз 75
9.4 Определение актуальных техногенных угроз безопасности видеоинформации 78
Заключение 79
Приложение 1 Размещение элементов системы видеонаблюдения 82
Приложение 2 Топология системы видеонаблюдения 85
Приложение 3 Конфигурация системы видеонаблюдения 86
Термины и определения
В настоящей Модели угроз безопасности биометрических персональных данных, обрабатываемых в системе видеонаблюдения Управления ДВЖД (далее – Модель угроз), используются следующие термины и определения:
Актуальная угроза безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.
Документированные (декларированные) возможности программного обеспечения (технического средства) – функциональные возможности программного обеспечения (технического средства), описанные в документации на программное обеспечение (техническое средство).
Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Контролируемая зона – пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание работников и посетителей организации.
Модель нарушителя – предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз безопасности информации – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационной системе персональных данных.
Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пользователь информационной системы – лицо, участвующее в функционировании информационной системы или использующее результаты ее функционирования.
Система видеонаблюдения – совокупность функционирующих видеоканалов, программных и технических средств записи и хранения видеоданных, а также программных и/или технических средств управления, осуществляющих информационный обмен между собой.
Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Субъекты обеспечения безопасности – субъекты (физические лица, профессиональные объединения и структуры), которые обеспечивают безопасность объектов, являются носителями активности противодействия угрозам на объектах безопасности;
Технические средства информационной системы персональных данных –средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, программные средства (операционные системы, системы управления базами данных и т.п.).
Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угроза безопасности персональных данных – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Утечка информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности персональных данных.
Принятые сокращения
АРМ – автоматизированное рабочее место
ГОСТ – государственный стандарт
ИБ – информационная безопасность
ИС – информационная система
КЗ – контролируемая зона
ЛВС – локальная вычислительная сеть
НДВ – недекларированные возможности
НСД – несанкционированный доступ
ОПО – общесистемное программное обеспечение
ПДн – персональные данные
ПЦО – пункт централизованной охраны
ПО – программное обеспечение
ПС – программные средства
ПЭМИН – побочные электромагнитные излучения и наводки
СВ – система видеонаблюдения
СЗИ – система защиты информации
СПО – специальное программное обеспечение
ТКУИ – технические каналы утечки информации
ТС – технические средства
ТСПИ – технические средства передачи информации
УБИ – угрозы безопасности информации
УБПДн – угрозы безопасности персональных данных
ФСБ – Федеральная служба безопасности
ФСТЭК – Федеральная служба технического и экспортного контроля
Нормативно-методическое обеспечение
Настоящая Модель угроз составлена в соответствии со следующими нормативно-методическими документами:
[1] – Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ);
[2] – Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ);
[3] – постановление Правительства Российской федерации от 01.11.2012 № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» (далее – постановление Правительства № 1119);
[4] – приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (далее – приказ ФСТЭК № 17);
[5] – приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – приказ ФСТЭК № 21);
[6] – Методический документ «Методика определения актуальных угроз безопасности информации в информационных системах» (проект ФСТЭК России, 2015 г.);
[7] – Методический документ «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11.02.2014);
[8] – Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утверждена ФСТЭК России 15.02.2008);
[9] – Банк данных угроз безопасности информации (электронный ресурс ФСТЭК России, режим доступа: http://bdu.fstec.ru/);
[10] – приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
[11] – Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены ФСБ России 31.03.2015 № 149/7/2/6 – 432);
[12] – ГОСТ Р 56546 – 2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем»;
[13] – Заключение по результатам аудита системы видеонаблюдения транспортного предприятия.
-
Общие положения
Настоящая Модель угроз разработана в рамках выполнения работ по созданию системы защиты биометрических персональных данных, обрабатываемых в системе видеонаблюдения транспортного предприятия.
Модель угроз выполнена с учетом назначения, особенностей и условий функционирования системы видеонаблюдения Управления ДВЖД.
Настоящий документ содержит систематизированный перечень актуальных угроз безопасности биометрических персональных данных при их обработке в системе видеонаблюдения. Определение угроз безопасности, актуальных для конкретной системы видеонаблюдения, является необходимым условием разработки и создания системы защиты видеоинформации, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты биометрических персональных данных.
В Модели угроз дано описание системы видеонаблюдения как объекта защиты, особенностей ее функционирования и структурно-функциональных характеристик, классификация и описание угроз безопасности видеоинформации, описание возможностей нарушителей, способов реализации угроз безопасности, уязвимостей системы видеонаблюдения, оценка степени ущерба от реализации угроз.
Модель угроз служит информационной основой для решения следующих основных задач по обеспечению безопасности:
-
прогнозирование, выявление, анализ и оценка угроз безопасности;
-
определение уровня защищенности биометрических персональных данных, который необходимо обеспечить при их обработке в системе видеонаблюдения;
-
разработка и применение комплекса мер, связанных с выявлением и предупреждением угроз безопасности;
-
определение, формирование организационной структуры противодействия угрозам безопасности системы видеонаблюдения и подготовка субъектов обеспечения безопасности к противодействию;
-
координация деятельности субъектов обеспечения безопасности;
-
контроль за обеспечением уровня защищенности биометрических персональных данных.
-
Основные характеристики системы видеонаблюдения
Система видеонаблюдения транспортного предприятия предназначена для обеспечения общественной и производственной безопасности, защиты сотрудников, их прав и интересов, а также имущества от неблагоприятных воздействий, поддержания дисциплины и порядка в Управлении ДВЖД, своевременного предупреждения, выявления и пресечения преступлений и правонарушений и обеспечивает круглосуточный визуальный контроль и запись видеоинформации о наружной и внутренней обстановке в здании и помещениях организации.
Система видеонаблюдения осуществляет с использованием средств автоматизации сбор, запись, накопление, хранение, передачу (на машинных носителях по запросу правоохранительных органов), уничтожение биометрических персональных данных следующих субъектов:
-
сотрудников Управления ДВЖД;
-
лиц, состоящих в договорных и иных гражданско-правовых отношениях с Управлением ДВЖД, и имеющих доступ в помещения организации.
Персональные данные указанных лиц должны быть защищены в соответствии с Федеральным законом № 152-ФЗ. Также организация обязана обеспечить защиту ПДн сотрудников, полученных в системе видеонаблюдения, от неправомерного их использования или утраты и вырабатывать соответствующие меры защиты в порядке, установленном Трудовым кодексом Российской Федерации.
Структура системы видеонаблюдения Управления ДВЖД включает следующие ТС:
-
ip-видеокамеры;
-
видеомониторы;
-
сетевое оборудование (видеокоммутаторы; KVM-переключатель);
-
источники электропитания, в том числе резервный;
-
линии связи;
-
видеосервер.
-
АРМ пользователей.
Для автоматизированной обработки биометрических ПДн используются специальное прикладное программное обеспечение «Интеллект», созданное российским производителем интеллектуальных интегрированных систем безопасности и видеонаблюдения ITV AxxonSoft и системное ПО Microsoft Windows 10.
Расположение элементов системы видеонаблюдения относительно границ контролируемой зоны представлено в приложении 1. Топология системы видеонаблюдения представлена в приложении 2. Конфигурация построения системы видеонаблюдения представлена в приложении 3.
Характеристики
Тип файла документ
Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.
Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.
Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
