Пояснительная записка (1210027), страница 12
Текст из файла (страница 12)
В информационной системе Лечебного учреждения обрабатываются персональные данные специальной категорий. Персональные данные обрабатываются на 32 АРМ и двух серверах, расположенных за пределами Лечебного учреждения.
Обработка и хранение персональных данных осуществляется уполномоченным лицом, на серверах БД, находящимся за пределами Лечебного учреждения.
Параметры информационной системы Лечебного учреждения представлены в таблице А.1.
Таблица А.1 – Параметры информационной системы Лечебного учреждения
| Наименование параметра | Значение |
| Структура информационной системы | Распределенная |
| Архитектура информационной системы | Файл-серверная |
| Взаимодействие с иными информационными системами | Имеется |
| Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена | Имеется |
| Размещение технических средств | ТС расположены в пределах нескольких контролируемых зон |
| Окончание таблицы А.1 | |
| Наименование параметра | Значение |
| Режим обработки персональных данных | Многопользовательский |
| Режим разграничения прав доступа пользователей | Система с разграничением прав доступа |
| Разделение функций по управлению информационной системой | Без разделения |
| Сегментирование информационной системы | Система c сегментированием |
| Местонахождение технических средств информационной системы | Все технические средства находятся в пределах Российской Федерации |
| Объем обрабатываемых персональных данных | Менее 100 тысяч субъектов персональных данных |
| Категории обрабатываемых персональных данных | Специальная (информация о состоянии здоровья) категория ПДн |
Рисунок А.1 – Размещение элементов информационной системы относительно границ контролируемой зоны на втором этаже здания перинатального корпуса
Рисунок А.2 – Размещение элементов информационной системы относительно границ контролируемой зоны на первом этаже здания поликлиники
Рисунок А.3 – Размещение элементов информационной системы относительно границ контролируемой зоны на втором этаже здания поликлиники
Приложение Б
Модель угроз безопасности информации,
обрабатываемой в информационной системе КГБУЗ «Перинатальный центр»
(выписка)
В информационной системе Лечебного учреждения были определены в качестве внешних нарушителей внешние субъекты (физические лица).
Возможные цели(мотивация)реализации угроз безопасности:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды.
В информационной системе Лечебного учреждения были определены в качестве внутренних нарушителей пользователи ИС.
Возможные цели(мотивация)реализации угроз безопасности:
-
причинение имущественного ущерба путем мошенничества или иным преступным путем;
-
любопытство или желание самореализации (подтверждение статуса);
-
месть за ранее совершенные действия;
-
непреднамеренные, неосторожные или неквалифицированные действия.
Потенциал нарушителей.
В Таблице Б.1 был приведен потенциал нарушителей информационной системы Лечебного учреждения.
Таблица Б.1 – Потенциал нарушителей, характерных для информационной системы Лечебного учреждения
| Вид нарушителя | Типы нарушителя | Потенциал нарушителя |
| Внешние субъекты (физические лица) | Внешний | Базовый (низкий) |
| Пользователи ИС | Внутренний | Базовый (низкий) |
С учетом видов нарушителей, характерных для информационной системы Лечебного учреждения были определены значения потенциалов возможных нарушителей. Таким образом, было установлено, что характерными для информационной системы Лечебного учреждения нарушителями будут следующие:
-
внешний нарушитель с потенциалом: Базовый (низкий),
-
внутренний нарушитель с потенциалом: Базовый (низкий).
Итоговый перечень актуальных угроз безопасности информации.
Итоговый перечень актуальных угроз безопасности представлен в таблице Б.2.
Таблица Б.2- Итоговый перечень актуальных угроз безопасности
| Идентификатор угрозы | Название угрозы | Актуальность угрозы |
| УБИ.006 | Угроза внедрения кода или данных | Актуальная |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Актуальная |
| УБИ.014 | Угроза длительного удержания вычислительных ресурсов пользователями | Актуальная |
| УБИ.015 | Угроза доступа к защищаемым файлам с использованием обходного пути | Актуальная |
| УБИ.022 | Угроза избыточного выделения оперативной памяти | Актуальная |
| УБИ.023 | Угроза изменения компонентов системы | Актуальная |
| УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации | Актуальная |
| Продолжение таблицы Б.2 | ||
| УБИ.030 | Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Актуальная |
| УБИ.031 | Угроза использования механизмов авторизации для повышения привилегий | Актуальная |
| УБИ.049 | Угроза нарушения целостности данных кеша | Актуальная |
| УБИ.067 | Угроза неправомерного ознакомления с защищаемой информацией | Актуальная |
| УБИ.071 | Угроза несанкционированного восстановления удалённой защищаемой информации | Актуальная |
| УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации | Актуальная |
| УБИ.086 | Угроза несанкционированного изменения аутентификационной информации | Актуальная |
| УБИ.088 | Угроза несанкционированного копирования защищаемой информации | Актуальная |
| УБИ.089 | Угроза несанкционированного редактирования реестра | Актуальная |
| УБИ.090 | Угроза несанкционированного создания учётной записи пользователя | Актуальная |
| УБИ.093 | Угроза несанкционированного управления буфером | Актуальная |
| УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Актуальная |
| УБИ.121 | Угроза повреждения системного реестра | Актуальная |
| УБИ.145 | Угроза пропуска проверки целостности программного обеспечения | Актуальная |
| УБИ.152 | Угроза удаления аутентификационной информации | Актуальная |
| УБИ.155 | Угроза утраты вычислительных ресурсов | Актуальная |
| УБИ.174 | Угроза «фарминга» | Актуальная |
| УБИ.178 | Угроза несанкционированного использования системных и сетевых утилит | Актуальная |
| ТУ.001 | Угроза отказа и неисправности технических средств, обрабатывающих информацию | Актуальная |
| ТУ.002 | Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | Актуальная |
| Окончание таблицы Б.2 | ||
| ТУ.003 | Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Актуальная |
| ТУ.006 | Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д) или систем управления базами данных | Актуальная |
| 1.1 | Проведение атаки при нахождении в пределах контролируемой зоны | Актуальная |
| 1.4 | Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Актуальная |
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
