Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

Политика «чистого стола» – комплекс организационных мероприятий, контролиру-ющих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паро-лей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных – лицо, участву-ющее в функционировании информационной системы персональных данных или исполь-зующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уни-чтожить и модифицировать программное обеспечение информационной системы персо-нальных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфи-денциальности персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающи-еся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируют-ся правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти ино-странного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персо-нальным данным, результатом которого может стать уничтожение, изменение, блокиро-вание, копирование, распространение персональных данных, а также иных несанкциони-рованных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональ-ных данных или в результате которых уничтожаются материальные носители персональ-ных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – слабость в средствах защиты, которую можно использовать для нару-шения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или ав-томатизированной системы обеспечивать неизменность информации в условиях случай-ного и/или преднамеренного искажения (разрушения).

1. Обозначения и сокращения

АРМ - автоматизированное рабочее место

ВТСС - вспомогательные технические средства и системы

ЛВС - локальная вычислительная сеть

МИС - муниципальная информационная система

НСД - несанкционированный доступ

ОС - операционная система

ПДн - персональные данные

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

СЗИ - система (подсистема) защиты информации

СКЗИ- средства криптографической защиты информации

СрЗИ - средства защиты информации

СОВ - система обнаружения вторжений

ТКУИ - технические каналы утечки информации

ТС – технические средства

ТСПИ – технические средства приема, обработки, хранения и передачи информации

УБИ - угрозы безопасности информации

1. Общие положения

Модель угроз безопасности информации при её обработке в ГИС (МИС) «Комитет» полное наименование учреждения разработана на основании обследования информационной системы.

В модели угроз безопасности информации содержится описание информационной системы, особенностей ее функционирования и структурно-функциональных характеристик, а также описание угроз безопасности информации, включающие описание возможностей нарушителей, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Настоящая модель угроз разработана в соответствии со следующими методическими документами:

• Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК России 15 февраля 2008 г.;

• Методика определения актуальных угроз безопасности информации в информационных системах, утверждена ФСТЭК России _________.;

• Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17;

• Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утвержденные руководством 8 Центра ФСБ России 31 марта 2015 г.

Настоящая модель определяет актуальные угрозы безопасности информации при её обработке в «Комитет» и используется при определении состава и содержания организационных и технических мер по обеспечению безопасности информации в МИС.

4. Описание информационной системы и особенностей ее функционирования

4.1 Цели, задачи и основные характеристики информационной системы

Основными целями функционирования МИС «Комитета» являются:

• повышение эффективности автоматизации деятельности «Комитета»;

• обеспечение непрерывного и надежного информационного взаимодействия для работы «Комитета»в целом;

• формирование единой информационно-коммуникационной среды, представляющей собой полнофункциональный инструмент для решения широкого спектра задач, стоящих перед «Комитета»;

• предоставление (исполнение) государственных услуг (функций) «Комитета» в электронном виде;

• автоматизированное формирование юридически значимых документов.

4.2 Виды информации, обрабатываемой в МИС «Комитет»

В МИС «Комитет» обрабатываются следующие виды информации:

-ПДн (Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность) ;

-Служебная тайна;

4.3 Топология сети «Комитет»

Топология МИС «Комитет» приведена на рисунке 2.4.1.

Рисунок 2.3.1– Топология сети «Комитет»

Территориальное расположение элементов информационной системы относительно границ контролируемой зоны представлено на рисунке 2.3.2.

Рисунок 2.3.2 – Расположение элементов «Комитет» относительно границ контролируемой зоны

4.4 Описание технологии обработки информации

Технологический процесс обработки информации в МИС «Комитет» включает в себя:

• загрузку операционной системы;

• проведение антивирусного контроля;

• запуск офисных приложений;

• разработку текстовых и графических документов;

• разработку электронных таблиц;

• формирование и печать документов.

4.4.1 Порядок обработки информации

В МИС «Комитет» обработка информации происходит следующим образом:

• информация в ИС вводится с бумажного носителя или переносится с использованием носителей, учтенных в несекретном делопроизводстве и имеющих гриф, соответствующий грифу передаваемой информации;

• информация обрабатываются в офисном программном обеспечении MS Office и специализированном программном обеспечении MapInfo 8.0 и AutoCAD 2010;

• вся информация хранится в файловом виде на АРМ информационной системы;

• доступ к информации регламентируется в соответствии со служебными полномочиями;

• основными устройствами хранения информации в информационной системы являются накопители на жестком магнитном диске, учтенные флеш-накопители;

• основными устройствами вывода информации являются монитор, принтер, плоттер;

• основным устройством ввода информации является клавиатура;

• субъектами доступа в информационной системе является персонал, имеющий право обрабатывать информацию, а также лица, обладающие правами контроля режима обеспечения безопасности информации в организации.

4.4.2. Режим обработки информации

Режим обработки предусматривает следующие действия с информацией: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу, обезличивание, блокирование, уничтожение.

5. Возможности нарушителей

В данном разделе приводится описание типов, видов, потенциала и мотивации нарушителей, от которых необходимо обеспечить защиту информации в информационной системе.

5.1. Типы нарушителей

С учетом наличия прав доступа и возможностей по доступу к информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:

• внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;

• внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам

5.1.1. Внешние нарушители

Внешнего нарушителя необходимо рассматривать в качестве актуального во всех случаях, когда имеются подключения информационной системы к внешним информационно-телекоммуникационным сетям и (или) имеются линии связи, выходящие за пределы контролируемой зоны, используемые для иных подключений.

Внешний нарушитель может:

• осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

• осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

• осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИС, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;

• осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИС.

5.1.2. Внутренние нарушители

При оценке возможностей внутренних нарушителей необходимо учитывать принимаемые оператором организационные меры по допуску субъектов к работе в информационной системе. Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационной системе и ее компонентам, а также мер по контролю за доступом и работой этих лиц.

5.2 Виды и потенциал нарушителей

С учетом заданных структурно-функциональных характеристик и особенностей функционирования МИС «Комитет», а также предположений о возможных целях (мотивации) при реализации угроз безопасности информации возможными нарушителями, в результате проведения экспертных оценок (таблица ___Приложения № ___) было определено, что для данной информационной системы характерны виды нарушителей, представленные в таблице 3.2.1.

Таблица 5.2.1 – Виды нарушителей, характерные для МИС «Комитет»

Возможности каждого вида нарушителя по реализации угроз безопасности информации характеризуются его потенциалом. Потенциал нарушителя определяется компетентностью, ресурсами и мотивацией, требуемыми для реализации угроз безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

Характеристики

Список файлов ВКР