Пояснительная записка (1210016), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

К внутренним нарушителям могут относиться:

• обслуживающий и технический персонал здания, в котором находится Организация (1);

• пользователи ИСПДн (2);

• администраторы ИСПДн (3);

• администраторы информационной безопасности ИСПДн (4);

• разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн (5);

• лица, обеспечивающие установку, настройку и сопровождение средств защиты информации (6).

К обслуживающему и техническому персоналу здания относятся сотрудники охраны, работники инженерно-технических служб и другие. Предполагается, что лица данной категории имеют доступ в КЗ Организации, при этом не владеют аутентификационной информацией.

Предполагается, что нарушитель этого типа может:

• иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

• располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

• располагать именами и вести выявление паролей зарегистрированных пользователей;

• изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.

К нарушителям типа 2 относятся пользователи ИСПДн. Предполагается, что эти лица имеют ограниченный доступ к ресурсам ИСПДн с рабочего места.

Предполагается, что нарушитель типа 2:

• обладает всеми возможностями лиц категории 1;

• знает, по меньшей мере, одно легальное имя доступа в ИСПДн;

• обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн ИСПДн;

• располагает персональными данными, к которым имеет доступ.

К нарушителям типа 3 относятся зарегистрированные пользователи ИСПДн с полномочиями администратора ИСПДн. На нарушителей типа 3 возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн для интеграции и обеспечения взаимодействия различных подсистем, входящих в состав ИСПДн:

• обладает всеми возможностями лиц категории 2;

• обладает полной информацией о системном и прикладном программном обеспечении, используемом в ИСПДн;

• обладает полной информацией о технических средствах и конфигурации ИСПДн;

• имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;

• обладает правами конфигурирования и административной настройки технических средств;

• имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.

К нарушителям типа 4 относятся зарегистрированные пользователи ИСПДн с полномочиями администратора ИСПДн. На нарушителей типа 4 возложены задачи по администрированию программно-аппаратных средств защиты информации в ИСПДн, по организации осуществления мероприятий, направленных на защиту ПДн.

Предполагается, что нарушитель типа 4:

• обладает всеми возможностями лиц категории 3;

• обладает правами конфигурирования и административной настройки технических средств, средств защиты информации ИСПДн.

К нарушителям типа 5 относятся лица, обеспечивающие установку, настройку и сопровождение программного обеспечения, обрабатывающего персональные данные, в Организации. Предполагается, что нарушители типа 5 могут иметь разовый допуск в КЗ.

Предполагается, что нарушитель типа 5:

• обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

• может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

К нарушителям типа 6 относятся лица, обеспечивающие установку, настройку и сопровождение средств защиты информации, предназначенных для обеспечения безопасности обрабатываемых персональных данных в Организации. Предполагается, что нарушители типа 6 являются сотрудниками организаций-лицензиатов ФСТЭК России и/или ФСБ России.

Предполагается, что нарушитель типа 6:

• обладает всеми возможностями лиц категории 4 и 5.

Предполагается, что лица категории 2 владеют только эксплуатационной информацией, что обеспечивается организационными мерами. При этом они владеют парольной, аутентифицирующей и ключевой информацией, используемой в ИСПДн, к которой они имеют санкционированный доступ. Лица категории 2 исключаются из списка вероятных нарушителей.

Предполагается, что к лицам категории 3 и 4, ввиду их исключительной роли в ИСПДн, применяется комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей. Предполагается, что в число лиц категорий 3 и 4 включаются только доверенные лица и поэтому указанные лица исключаются из числа вероятных нарушителей.

Предполагается, что лица категории 5 также исключаются из числа вероятных нарушителей, так как внедрение нового программного обеспечения осуществляется либо лицами категории 3 и 4 либо сторонними специалистами совместно с лицами категории 3 и 4. При этом учитывается, что для реализации УБПДн от программных закладок, внедренных в программное обеспечение, необходимо подключение к сетям общего пользования или сетям международного информационного обмена. ИСПДн подключена к сетям общего пользования и международным сетям информационного обмена, нейтрализация данных угроз в ИСПДн реализуется не сертифицированными средствами антивирусной защиты и средствами межсетевого экранирования.

Предполагается, что лица категории 6 являются сотрудниками организаций- лицензиатов ФСТЭК и/или ФСБ России и эти лица хорошо знакомы с ответственностью, предусмотренной за реализацию угроз безопасности. Предполагается, что эти лица не заинтересованы в разглашении информации и нарушении безопасности ПДн при выполнении работ, так как это может повлечь лишение права выполнять лицензируемую деятельность. Предполагается, что к лицам категории 6 применяется комплекс особых организационных мер по их подбору в организацию-лицензиата ФСТЭК и/или ФСБ России.

1.10 Определение актуальных угроз

Определение актуальных угроз безопасности персональных данных проводилось в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008 г.

При этом учитывалось следующее:

• ИСПДн является локальной, обрабатывающей иные категории персональных данных;

• ИСПДн является многопользовательской системой обработки ПДн с разграничением прав доступа к ним зарегистрированных пользователей системы;

• в ИСПДн обрабатываются персональные данные субъектов ПДн, являющихся сотрудниками и не являющихся сотрудниками организации;

• в ИСПДн обрабатывается менее 100000 субъектов персональных данных;

• все технические средства информационной системы находятся в пределах Российской Федерации.

Для оценки возможности реализации угрозы безопасности ИСПДн, согласно Методике вычисляются два показателя:

• уровень исходной защищенности ИСПДн (Y₁);

• вероятность реализации рассматриваемой угрозы (Y₂).

Определения уровня исходной защищенности

Под исходным уровнем защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y₁) и определяется в соответствии с таблицей 1.10.1.

Таблица 1.10.1 - Уровень исходной защищенности

Оценка вероятности реализации угроз безопасности персональных данных:

Под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:

• маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (Y₂=0);

• низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y₂=2);

• средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y₂=5);

• высокая вероятность – объективные предпосылки для реализации угрозы существуют, и серы по обеспечению безопасности ПДн не приняты (Y₂=10).

Определение реализуемости угроз безопасности:

По итогам оценки уровня защищенности (Y₁ ) и вероятности реализации угрозы (Y₂ ), рассчитывается числовой коэффициент реализуемости угрозы (Y ) и определяется возможность реализации угрозы. Коэффициент реализуемости угрозы Y определяется соотношением Y = (Y₁ + Y₂ )/20.

Оценка опасности угрозы:

Оценка опасности УБПДн производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:

• низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

• средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

• высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Определение актуальности угроз ИСПДн:

В соответствии с правилами отнесения УБПДн к актуальным, для ИСПДн определяются актуальные и неактуальные угрозы. Правила определения актуальности угроз представлены в таблице 1.10.2.

Таблица 1.10.2 – Определение актуальности угроз

Оценка актуальности угроз безопасности ПДн для строительной организации представлена в Приложении А.

1.11 Определение требуемого уровня защищённости ПДн в ИСПДн

В ИСПДн «Бухгалтерия и Кадры» «ПТО и Снабжение» обрабатываются ПДн как субъектов, не являющихся сотрудниками организации, так и персонала предприятия. На предприятии используется только лицензионное ПО, производится ежемесячное обновление прикладного ПО и регулярное обновление системного ПО. Прикладные программы, используемые для обработки ПДн, лицензированные, несанкционированному и недокументированному изменению не подвергаются. Используемое антивирусное ПО лицензированное, но не сертифицированное, происходит регулярное обновление антивирусных баз с сервера обновления производителя.

Угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, не актуальны для информационной системы организации, так как применяется лицензированное ПО, регулярно обновляемое, при этом исключена возможность его доработки, а также используется средство антивирусной защиты. В соответствии с п.6 постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» определяем, что для указанной ИСПДн актуальны угрозы 3-го типа.

Исходя из категорий и объема ПДн, обрабатываемых в ИСПДн, и типа угроз, на основании пункта 12 подпунктов «а» и «б» «Требований к защите персональных данных при их обработке в информационных системах персональных данных» в организации необходимо обеспечить 4-й уровень защищенности персональных данных при их обработке в ИСПДн «Бухгалтерия и Кадры» «ПТО и Снабжение».

Характеристики

Список файлов ВКР