7. Отчет о проверке Антиплагиат (1209953), страница 5
Текст из файла (страница 5)
18Однако в соответствии с пунктом 27 Требований, утвержденных ПриказомФСТЭК России от 11 февраля 2013 г. 32 No 17 [3], должно быть обеспеченосоответствующее соотношение класса защищенности государственнойинформационной системы с уровнем защищенности 32 информационной системыперсональных данных. 2 Исходя из вышеизложенного, в «Системе-112»необходимо обеспечить второй класс защищенности.201.6 Модель нарушителя и угроз безопасности информации1.6.1 Модель вероятного нарушителяВ соответствии с Модель вероятного нарушителя и угроз безопасностиперсональных данных, обрабатываемых в сегменте информационной системыАПК «Безопасный город» (далее – Модель угроз) (приложение Б), наиболеевероятными нарушителями являются:Внешние нарушители:– лица, обеспечивающие функционирование информационных систем илиобслуживающие инфраструктуру оператора (администрация, охрана, уборщикии т.д.)– уволенные сотрудники или уволенные сотрудники организаций,обеспечивающих техническое обслуживание и эксплуатацию ГИС«Система112».Внутренние нарушители:пользователи ГИС «Система-112»С учетом указанных видов нарушителей был определен потенциалнарушителя – базовый (низкий).Наиболее вероятными целями (мотивацией) реализации угроз для указанныхвидов нарушителей являются:причинение имущественного ущерба путем мошенничества или инымпреступным путем;любопытство или желание самореализации.С целью создания определенного запаса прочности предполагается, чтонарушитель владеет всей необходимой информацией, достаточными навыкамии знаниями для реализации угроз, а также обладает всеми средствамиреализации угроз, соответствующими потенциалу нарушителя.211.6.2 Модель угрозУгрозами безопасности персональных данных при их обработке винформационной системе 24 считается ряд условий и факторов, которые создаютопасность несанкционированного, а также случайного, доступа к персональнымданным, в 16 результате 19 чего информация может быть уничтожена, изменена,заблокирована, скопирована, незаконно распространена.Определение актуальных угроз производилось в модели угроз (приложениеБ).В соответствии с Моделью угроз, актуальными угрозами безопасности вГИС «Система-112» являются угрозы:– уничтожения, хищения аппаратных средств 41 ГИС носителей информациипутем физического доступа к элементам 41 ГИС;– утечки видовой информации 21 по техническим каналам;– обхода системы идентификации и аутентификации сообщений;– модификация базовой системы ввода/вывода (BIOS);– с применением стандартных функций ОС;– с помощью прикладной программы;– утечка информации с использованием копирования ее на машинныеносители;– внедрение вредоносных программ с использованием съемных носителей;– перехват и взлом паролей;– угроза подбора паролей доступа– угроза НСД с использованием ошибок программного кода операционныхсистем– угроза НСД к информации при её 86 передаче по каналам связи, имеющимвыход за пределы контролируемой зоны.
11Для оценки возможности реализации угрозы 22 определялись два показателя:уровень исходной ( 22 проектной) защищенности ИСПДн и вероятность реализации 222рассматриваемой угрозы.Под уровнем 2 проектной защищенности ИСПДн понимается обобщенныйпоказатель, зависящий от технических и эксплуатационных характеристикИСПДн, приведенных в таблице 1.1Таблица 1.1 – Показатели, 29 характеризующие проектную защищенностьинформационной системы 4Структурно-функциональные характеристикиинформационной системы, 4 условия еёэксплуатацииУровень защищенностиВысокий Средний НизкийПо территориальному размещению 12локальная (кампусная) ИСПДн, развернутая впределах нескольких близко расположенныхзданий+По наличию соединения с сетями общего пользованияИСПДн, имеющая 12 многоточечный выход в 23 сетьобщего пользования+По встроенным (легальным) операциям с записями баз персональных данныхчтение, поиск, запись, удаление, сортировка,модификация, передача+По разграничению доступа к персональным даннымИСПДн, к которой имеют доступ определенныеперечнем 12 сотрудники организации,являющейся владельцем ИСПДн+По наличию соединений с другими базами ПДн иных ИСПДнИСПДн, в которой используется одна база ПДн,принадлежащая организации – владельцуданной ИСПДн+По уровню обобщения (обезличивания) ПДн 723ИСПДн, в которой предоставляемыепользователю данные не являютсяобезличенными (т.е.
присутствует информация,позволяющая идентифицировать субъекта ПДн)+По объему ПДн, которые 7 представляются сторонним пользователям ИСПДн безпредварительной обработкиИСПДн, 23 представляющая часть ПДн +В таблице 1.2 представлены значения характеристик в процентномсоотношении.Таблица 1.2 – Значения характеристик в процентном соотношении.Значение характеристики(уровень защищенности)КоличествозначенийПроцент значений нениже данного уровняВысокий 1 14%Средний 3 43%Низкий 3 43% 22Вывод: В соответствии с методикой определения актуальных угроз [15]ИСПДн 22 имеет низкую степень защищенности в связи с тем, что уровню не нижесреднего не соответствуют более 70% характеристик.Уровню исходной защищенности ставится в соответствие числовойкоэффициент Y1, а именно:для высокой степени исходной защищенности – 0;для средней степени исходной защищенности – 5;для низкой степени исходной защищенности – 10.В 22 соответствии с таблицей 1.2 и выводом, коэффициент Y1 = 10.Для определения актуальных угроз безопасности информации для каждойугрозы определялся числовой коэффициент Y2, соответствующий еёвероятности.Учитывая вышеизложенное, коэффициент возможности реализации угрозыYбудет определяться по формуле (1.1):Y = (Y1 + Y2) / 20, (1.1)где Y1 = 10 (низкий уровень защищенности),24Y2 – коэффициент вероятности угрозы.По значению коэффициента 7 возможности реализации угрозыформировалась вербальная интерпретация реализуемости угрозы.
7После этого производится оценка опасности и актуальности угрозы всоответствии методикой определения актуальных угроз [15]. Подсчеткоэффициентов и определение актуальности угроз безопасности ПДнпредставлены в таблице 1.3.2526Таблица 1.3 – Оценка коэффициентов и определение актуальности угрозУгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальностьУгрозы утечки информации по техническим каналам 22Непосредственное прослушиваниеакустической речевой информации 22физическими лицами при посещении имислужебных помещений2 0,6 42 Средняя Низкая НеактуальнаяПерехват акустических сигналов сиспользованием направленных микрофонов0 0,5 Средняя Низкая НеактуальнаяПерехват акустических сигналов сиспользованием акустооптическихмодуляторов0 0,5 Средняя Низкая НеактуальнаяПерехват вибрационных сигналов сиспользованием оптико-электроннойаппаратуры дистанционного лазерногозондирования0 0,5 Средняя Низкая НеактуальнаяПерехват вибрационных сигналов сиспользованием вибродатчиков0 0,5 Средняя Низкая Неактуальная27УгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальностьПерехват электрических сигналов,возникающих в результате «микрофонногоэффекта» в технических средствах обработкиинформации и ВТСС с использованиемсредств съема электрических сигналов сгальваническим подключением0 0,5 Средняя Низкая НеактуальнаяПерехват радиоизлучений, модулированныхинформативными сигналом, возникающих при 21ВЧ- облучении технических средств обработки 21информации и ВТСС с использованием ВЧгенераторов и средств съема электрическихсигналов с гальваническим подключением0 0,5 Средняя Низкая НеактуальнаяПерехват радиоизлучений, модулированныхинформативным сигналом, возникающих при 21ВЧ- облучении технических средств обработки 21информации и ВТСС с использованием ВЧгенераторов и приемников электромагнитногоизлучения0 0,5 Средняя Низкая НеактуальнаяУгрозыКоэффициентвероятностиКоэффициентвозможностиРеализуемостьугрозыОпасностьугрозыАктуальность28угрозы реализацииугрозыНепосредственный просмотр информации смониторов и других средств отображенияграфической, буквенно- и видео-цифровойинформации при посещении служебныхпомещений физическими лицами2 0,6 Средняя Низкая НеактуальнаяПросмотр (регистрация) информации сэкранов дисплеев и других средствотображения, средств вычислительнойтехники, информационно-вычислительныхкомплексов, технических средств обработкиграфической, видео- и буквенно-цифровойинформации 42 на расстоянии прямой видимостииз-за пределов 20 служебных помещений с 20использованием оптических(оптоэлектронных) средств0 0,5 Средняя Низкая НеактуальнаяПросмотр информации с помощьюспециальных видеоустройств, внедренных вслужебных помещениях или скрытноиспользуемых физическими лицами припосещении ими служебных помещений0 0,5 42 Средняя Низкая НеактуальнаяУгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность29Перехват информации техническимисредствами побочных электромагнитныхизлучений информативных сигналов оттехнических средств и линий передачиинформации с 31 использованием портативныхсканерных приемников, цифровыханализаторов спектра, селективныхмикровольтметров и специальныхпрограммно-аппаратных комплексов0 0,5 Средняя Низкая НеактуальнаяПерехват информации техническимисредствами наводок информативного сигнала,обрабатываемого техническими средствами,на цепи электропитания и линии связи,выходящие за пределы служебных помещенийс 31 использованием токосъемников0 0,5 Средняя Низкая НеактуальнаяУгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность30Перехват информации техническимисредствами радиоизлучений, модулированныхинформативным сигналом, возникающих врезультате работы различных генераторов всоставе 31 ИС или в результате паразитнойгенерации в узлах (элементах) техническихсредств с 31 использованием портативныхсканерных приемников, цифровыханализаторов спектра, селективныхмикровольтметров и специальныхпрограммно-аппаратных комплексов0 0,5 Средняя Низкая НеактуальнаяПерехват информации техническимисредствами радиоизлучений, формируемых засчет высокочастотного облучения техническихсредств 31 ИС с использованием портативныхсканерных приемников, цифровыханализаторов спектра, селективныхмикровольтметров и специальныхпрограммно-аппаратных комплексов0 0,5 Средняя Низкая НеактуальнаяУгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность31Перехват информации техническимисредствами оптического излучения с боковойповерхности оптического волокна вволоконно-оптической системе передачиданных0 0,5 Средняя Низкая НеактуальнаяПерехват информации с применениемэлектронных устройств перехватаинформации, подключенных к каналам связиили техническим средствам обработкиинформации (« 116 аппаратные закладки»)0 0,5 Средняя Низкая НеактуальнаяУгрозы преднамеренных действий внутреннего нарушителяКража ПЭВМ АРМ или сервера ИС 2 0,6 Средняя Низкая НеактуальнаяКража носителей информации 2 0,6 7 Средняя Низкая 16 НеактуальнаяКража ключей и атрибутов доступа 2 0,6 7 Средняя Низкая 16 НеактуальнаяКража, модификация и уничтожениеинформации2 0,6 7 Средняя 16 Высокая АктуальнаяУгрозыКоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность 17Вывод из строя узлов ПЭВМ, каналов связи 2 0,6 41 Средняя 16 Низкая Неактуальная 332Несанкционированный доступ к информациипри техническом обслуживании (ремонте) 3узлов ПЭВМ0 0,5 17 Средняя Низкая НеактуальнаяНесанкционированное отключение средствзащиты2 0,6 28 Средняя Средняя 16 АктуальнаяМодификация ПО базовой системыввода/вывода (BIOS)5 0,75 Высокая Низкая АктуальнаяЗагрузка нештатной (не доверенной)операционной системы5 0,75 Высокая 28 Средняя АктуальнаяНедекларированные возможности ( 28 НДВ)системного ПО и ПО, 28 предназначенного дляобработки ПДн0 0,5 Средняя 16 Низкая НеактуальнаяУстановка ПО, не связанного с исполнениемслужебных обязанностей2 0,6 Средняя Средняя Актуальная 3Доступ к 66 информации, модификация,уничтожение сотрудниками, 66 не 66 допущеннымик её обработке2 0,6 Средняя 7 Средняя АктуальнаяУгрозы 17КоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальность 17Разглашение информации, модификация,уничтожение сотрудниками, допущенными кеё обработке0 0,5 Средняя 16 Низкая Неактуальная 1633 16Угрозы непреднамеренных действий внутреннего нарушителяУтрата ключей и атрибутов доступа 5 0,75 Высокая Средняя АктуальнаяРазглашение (например, при разговорах,записывание на бумаге и т.п.) логинов ипаролей10 1ОченьвысокаяВысокая АктуальнаяНеумышленная (случайная) модификация(искажение) доступной информации2 0,6 Средняя Средняя АктуальнаяНеумышленное (случайное) добавление(фальсификация) информации0 0,5 Средняя Средняя АктуальнаяНепреднамеренное отключение средствзащиты5 0,75 28 Высокая 17 Средняя АктуальнаяУгрозы несанкционированного доступа по каналам связи 3Перехват 17 информации за пределамиконтролируемой зоны5 0,75 7 Высокая 28 Средняя АктуальнаяПерехват 28 информации в пределахконтролируемой зоны внешниминарушителями2 0,6 28 Средняя Низкая НеактуальнаяУгрозы 28КоэффициентвероятностиугрозыКоэффициентвозможностиреализацииугрозыРеализуемостьугрозыОпасностьугрозыАктуальностьПерехват информации в пределахконтролируемой зоны внутренниминарушителями2 0,6 Средняя Низкая НеактуальнаяУгроза «сканирование сети» 5 0,75 Высокая Средняя АктуальнаяУгроза выявления паролей 2 0,6 Средняя Средняя Актуальная34Угроза подмены доверенного объекта сети 5 0,75 Высокая Средняя АктуальнаяВнедрение ложного объекта сети 5 0,75 Высокая Средняя АктуальнаяУгроза типа «отказ в обслуживании» 0 0,5 Средняя Низкая НеактуальнаяУгрозы удаленного запуска приложений 5 0,75 Высокая 17 Средняя АктуальнаяУгрозы 17 действия вредоносных программУгрозы внедрения вредоносных программ посети2 0,6 Средняя Низкая НеактуальнаяДействия вредоносных программ (вирусов) 2 0,6 Средняя Средняя АктуальнаяУгрозы, не связанные с деятельностью человекаВыход из строя программно-аппаратныхсредств2 0,6 Средняя Низкая 16 НеактуальнаяСбой системы электроснабжения 2 0,6 7 Средняя Низкая 16 НеактуальнаяСтихийное бедствие 0 0,5 7 Средняя Низкая Неактуальная 16352 16 Разработка методов и способов защиты 16 персональных данных2.1 Основание для разработкиНеобходимость создания системы информационной безопасностиопределена следующими основными документами:– Федеральный закон 9 Российской Федерации от 27.07.2006 66 No 149- ФЗ «Обинформации, информационных технологиях и о защите информации» (сизменениями и 29 дополнениями);– Федеральный закон от 27.07.2006 36 No152- ФЗ «О персональных данных»(с изменениями и 1 дополнениями);– Постановление Правительства Российской Федерации от 1 ноября 2012г.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
