Пояснительная записка (1209970), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Программное обеспечение, установленное на АРМ пользователей представлено в таблице А.2 приложение А.

Подразделение взаимодействует только с информационной системой центра обработки данных. Связь между ЦОД – ом и подразделением осуществляется при помощи, выделенной волоконно – оптической линией связи по стандарту IEEE 802.6, принадлежащей телекоммуникационной компании ООО «Рэдком – РУ». Так же имеется точка выхода в сеть общего пользования. Примерная длинна линии составляет четыре с половиной километров.

В другие информационные системы, других организаций передача данных из подразделения не осуществляется.

С иными юридическими и физическими лицами обмен данными происходит исключительно на бумажных носителях по соответствующему заявлению.

На текущий момент схема взаимодействия между ЦОД-ом и подразделение можно увидеть на рисунке 1.2

1. Существующие меры защиты ИСПДн

Доступ в помещение подразделения охраняется сотрудником вневедомственной охраны. Пост охраны оборудован тревожной кнопкой

Лица, не являющиеся сотрудниками компании, могут находится в помещении, но доступа к техническим средствам информационной системы персональных данных не имеют.

В подразделении ведется видеонаблюдение, которое работает по отдельной выделенной линии с отдельной автономной информационной системой, не входящей в рассматриваемую информационную систему в данной работе. Вся информация с камер видеонаблюдения поступает на пульт охраннику подразделения и охраннику главного офиса, где располагается центр обработки данных. Так же офис оборудован охранной, пожарной сигнализацией.

Охранная сигнализация включается в момент, когда офис закрыт и в нем нет сотрудников компании в выходной или праздничный день, либо в не рабочее время, когда офис закрывается до следующего рабочего дня сотрудников. В рабочее время охранная сигнализация выключается. Пожарная сигнализация работает круглосуточно.

Офис подразделения состоит из двух этажей.

На первом этаже находится пост охраны, начальник подразделения и сотрудники, работающие с физическими лицами.

На втором этаже находится сектор по работе с юридическими лицами. Так же на втором этаже находится коммутационный шкаф, который связывает все АРМ подразделения в одну ЛВС и позволяет обмениваться информацией с центром обработки данных.

На рабочих станция сотрудников установлено и настроено антивирусное средство защиты «Kaspersky Endpoint Security РАСШИРЕННЫЙ», имеющий сертификат ФСТЭК.

Расположение технических средств информационной системы персональных данных, согласно схемы помещения представлено на рисунке 1.3 и рисунке 1.4

1. Классификация ИСПДн

При помощи перечня технических и организационных мер обеспечения безопасности, определяющиеся нормативно-методической документацией ФСТЭК России и ФСБ России можно обеспечить безопасность персональных данных. В соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 [7], определяется четыре уровня защищенности персональных данных от первого до четвертого.

Уровень защищенности зависит от следующих показателей:

• тип актуальных угроз;

• категория обрабатываемых персональных данных;

• тип субъектов ПДн, персональные данные которых обрабатываются в информационной системе;

• количество субъектов ПДн, не являющихся сотрудниками оператора;

В ходе изучения сегмента информационной сети было установлено, что в системе обрабатываются иные персональные данные (не относятся к специальным, биометрическим и общедоступным). Для системы актуальны угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе, то есть актуальны угрозы 3 типа. Информационной системе компании обрабатываются данные более 100000 субъектов персональных данных.

Исходя из категорий и объема персональных данных, одновременно обрабатываемых в системе и типа угроз на основании пункта 11 подпункта «д» «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 01.11.2012 г. №1119 [7] необходимо обеспечить 3 уровень защищенности персональных данных.

1. Модель угроз безопасности персональных данных в ИСПДн

В соответствии с моделью угроз и особенностей ОТСС ИСПДн наиболее вероятными нарушителями являются:

1. Внешних

   1. преступные группы (криминальные структуры);

   2. внешние субъекты (физические лица);

   3. конкурирующие организации;

   4. бывшие работники (пользователи);

2. Внутренних

   1. Технический персонал и обслуживающий персонал, который не допущен к обработке персональных данных;

   2. Пользователи ИС;

   3. Разработчики и лица, обеспечивающие поставку, ремонт и сопровождение технических средств информационной системы

С учетом указанных видов нарушителей был определен потенциал нарушителя – базовый (низкий) для внутренних и базовый повышенный (средний) для внешних. Характеристика, вид и потенциал представлен в таблице 1.1.

Таблица 1.1 – Характеристика, вид и потенциал нарушителей

Наиболее вероятными целями (мотивацией) реализации угроз для указанных видов нарушителей являются:

• любопытство или желание самореализации (подтверждение статуса);

• причинение имущественного ущерба путем мошенничества или иным преступным путем;

• месть компании или сотрудникам, за ранее совершенные действия;

Чтобы обеспечить должный уровень защиты безопасности информации предполагается, что у нарушителя есть достаточный набор знаний и навыков, а также необходимая информация, для реализации угрозы безопасности, соответствующие потенциалу нарушителя.

Угрозами безопасности ПДн при их обработке в ИСПДн считается ряд условий и факторов, которые создают опасность несанкционированного, а также случайного, доступа к персональным данным, в результате чего информация может быть уничтожена, изменена, заблокирована, скопирована, незаконно распространена.

Определение актуальных угроз производилось в «Модели угроз безопасности персональных данных при их обработке в сегменте информационной системы телекоммуникационной компании» (приложение Б).

В соответствии с банком модели угроз и для определенным потенциалом, для данной ИСПДн угрозами будут являться:

• УБИ.004 Угроза аппаратного сброса пароля BIOS;

• УБИ.006 Угроза внедрения кода или данных;

• УБИ.007 Угроза воздействия на программы с высокими привилегиями;

• УБИ.012 Угроза деструктивного изменения конфигурации/среды окружения программ;

• УБИ.014 Угроза длительного удержания вычислительных ресурсов пользователями;

• УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути;

• УБИ.016 Угроза доступа к локальным файлам сервера при помощи URL;

• УБИ.017 Угроза доступа/перехвата/изменения HTTP cookies;

• УБИ.019 Угроза заражения DNS-кеша;

• УБИ.020 Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг;

• УБИ.022 Угроза избыточного выделения оперативной памяти;

• УБИ.023 Угроза изменения компонентов системы;

• УБИ.026 Угроза искажения XML-схемы;

• УБИ.027 Угроза искажения вводимой и выводимой на периферийные устройства информации;

• УБИ.028 Угроза использования альтернативных путей доступа к ресурсам;

• УБИ.030 Угроза использования информации идентификации/аутентификации, заданной по умолчанию;

• УБИ.031 Угроза использования механизмов авторизации для повышения привилегий;

• УБИ.032 Угроза использования поддельных цифровых подписей BIOS;

• УБИ.033 Угроза использования слабостей кодирования входных данных;

• УБИ.034 Угроза использования слабостей протоколов сетевого/локального обмена данными;

• УБИ.037 Угроза исследования приложения через отчёты об ошибках;

• УБИ.038 Угроза исчерпания вычислительных ресурсов хранилища больших данных;

• УБИ.039 Угроза исчерпания запаса ключей, необходимых для обновления BIOS;

• УБИ.041 Угроза межсайтового скриптинга;

• УБИ.044 Угроза нарушения изоляции пользовательских данных внутри виртуальной машины;

• УБИ.046 Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия;

• УБИ.048 Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин

• УБИ.049 Угроза нарушения целостности данных кеша;

• УБИ.050 Угроза неверного определения формата входных данных, поступающих в хранилище больших данных;

• УБИ.053 Угроза невозможности управления правами пользователей BIOS;

• УБИ.055 Угроза незащищённого администрирования облачных услуг;

• УБИ.057 Угроза неконтролируемого копирования данных внутри хранилища больших данных;

• УБИ.060 Угроза неконтролируемого уничтожения информации хранилищем больших данных;

• УБИ.062 Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера;

• УБИ.063 Угроза некорректного использования функционала программного обеспечения;

• УБИ.067 Угроза неправомерного ознакомления с защищаемой информацией;

• УБИ.069 Угроза неправомерных действий в каналах связи;

• УБИ.071 Угроза несанкционированного восстановления удалённой защищаемой информации;

• УБИ.073 Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети;

• УБИ.074 Угроза несанкционированного доступа к аутентификационной информации;

• УБИ.075 Угроза несанкционированного доступа к виртуальным каналам передачи;

• УБИ.076 Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети;

• УБИ.078 Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети;

• УБИ.079 Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин;

• УБИ.080 Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети;

• УБИ.084 Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети;

• УБИ.085 Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации;

• УБИ.086 Угроза несанкционированного изменения аутентификационной информации;

• УБИ.088 Угроза несанкционированного копирования защищаемой информации;

• УБИ.089 Угроза несанкционированного редактирования реестра;

• УБИ.090 Угроза несанкционированного создания учётной записи пользователя;

• УБИ.093 Угроза несанкционированного управления буфером;

• УБИ.094 Угроза несанкционированного управления синхронизацией и состоянием;

• УБИ.097 Угроза несогласованности правил доступа к большим данным;

• УБИ.098 Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб;

• УБИ.102 Угроза опосредованного управления группой программ через совместно используемые данные;

• УБИ.103 Угроза определения типов объектов защиты;

• УБИ.104 Угроза определения топологии вычислительной сети;

• УБИ.105 Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных;

• УБИ.108 Угроза ошибки обновления гипервизора;

• УБИ.111 Угроза передачи данных по скрытым каналам;

• УБИ.112 Угроза передачи запрещённых команд на оборудование с числовым программным управлением;

• УБИ.113 Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники;

• УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации;

• УБИ.116 Угроза перехвата данных, передаваемых по вычислительной сети;

• УБИ.117 Угроза перехвата привилегированного потока;

• УБИ.121 Угроза повреждения системного реестра;

• УБИ.122 Угроза повышения привилегий;

• УБИ.126 Угроза подмены беспроводного клиента или точки доступа;

• УБИ.127 Угроза подмены действия пользователя путём обмана;

• УБИ.128 Угроза подмены доверенного пользователя;

• УБИ.130 Угроза подмены содержимого сетевых ресурсов;

• УБИ.131 Угроза подмены субъекта сетевого доступа;

• УБИ.132 Угроза получения предварительной информации об объекте защиты;

• УБИ.136 Угроза потери информации вследствие несогласованности работы узлов хранилища больших данных;

• УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании»;

• УБИ.143 Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;

• УБИ.145 Угроза пропуска проверки целостности программного обеспечения;

• УБИ.149 Угроза, сбоя обработки специальным образом изменённых файлов;

• УБИ.151 Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL;

• УБИ.152 Угроза удаления аутентификационной информации;

• УБИ.153 Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов;

• УБИ.162 Угроза эксплуатации цифровой подписи программного кода;

• УБИ.167 Угроза заражения компьютера при посещении неблагонадёжных сайтов;

• УБИ.168 Угроза «кражи» учётной записи доступа к сетевым сервисам;

• УБИ.171 Угроза скрытного включения вычислительного устройства в состав бот-сети;

• УБИ.172 Угроза распространения «почтовых червей»;

• УБИ.173 Угроза «спама» веб-сервера;

• УБИ.174 Угроза «фарминга»;

• УБИ.175 Угроза «фишинга»;

• УБИ.176 Угроза нарушения технологического/производственного процесса из-за временных задержек, вносимых средством защиты;

• УБИ.177 Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью;

• УБИ.178 Угроза несанкционированного использования системных и сетевых утилит;

• УБИ.179 Угроза несанкционированной модификации защищаемой информации;

• УБИ.180 Угроза отказа подсистемы обеспечения температурного режима;

• УБИ.181 Угроза перехвата одноразовых паролей в режиме реального времени;

• УБИ.182 Угроза физического устаревания аппаратных компонентов;

• УБИ.185 Угроза несанкционированного изменения параметров настройки средств защиты информации;

• УБИ.186 Угроза внедрения вредоносного кода через рекламу, сервисы и контент;

• УБИ.187 Угроза несанкционированного воздействия на средство защиты информации;

• УБИ.189 Угроза маскирования действий вредоносного кода;

• УБИ. 190 Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет;

• УБИ.191 Угроза внедрения вредоносного кода в дистрибутив программного обеспечения;

• УБИ.192 Угроза использования уязвимых версий программного обеспечения;

Согласно базовой модели угроз персональных данных при их обработке в информационных системах персональных данных, утвержденной Заместителем директора ФСТЭК России 15.02.2008 г [8]., угроза безопасности информации является актуальной, если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы, и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации.

Характеристики

Список файлов ВКР