Частная модель угроз ПДн, обрабатываемых в ИСПДн "Бухгалтерия и кадры" - Формирование требований к системе защиты персональных данных
Методика определения модели нарушителя ИБ
Типовой перечень и классификация нарушителя.
- 1. категория - нарушители информационной безопасности, не имеющие доступ контролируемую зону. 2. категория - нарушители информационной безопасности, имеющие разовый или постоянный доступ в контролируемую зону.
К 1-й категории относятся внешние нарушители, которые могут быть как одиночными, так и групповыми.
Ко 2-й категории относятся как внешние, так и внутренние нарушители, которые могут действовать в одиночку так и группой.
Уровень мотивации нарушителя - это вербальный показатель, который отражает степень интереса нарушителя информационной безопасности, побуждающего последнего к совершению деструктивных действий в отношении объекта защиты. Определение уровня мотивации осуществляется на основании таблицы 5.
Таблица 5 - Определение уровня мотивации нарушителя
Уровень мотивации |
Мотивация нарушителя |
Крайне высокий |
Корыстные интересы, достижение политических целей. |
Высокий |
Корыстные цели, религиозные убеждения, принуждение, месть. |
Средний |
Профессиональное самоутверждение, желание прославиться, идеологические соображения. |
Низкий |
Недовольство, хулиганство, вандализм, развитие и тренировка навыков. |
Минимальный |
Любопытство, отсутствие мотивов. |
Определение уровня опасности осуществляется с учетом опасности нарушителя. Определение актуальности нарушителя информационной безопасности с учетом уровня мотивации и опасности осуществляется на основании табл. 6
Таблица 6 - Определение актуальности нарушителя ИБ
Уровень мотивации нарушителя |
Актуальность нарушителя (уровень опасности) | |||
Минимальная |
Низкая |
Средняя |
Высокая | |
Минимальный |
Н |
Н |
Н |
Н |
Низкий |
Н |
Н |
Н |
А |
Средний |
Н |
Н |
А |
А |
Высокий |
Н |
А |
А |
А |
Крайне высокий |
А |
А |
А |
А |
Методика разработки модели угроз
Модель угроз - документ, использующийся для:
- - анализа защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн; - разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн; - проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации; - недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование; - контроля обеспечения уровня защищенности персональных данных.
В соответствии с документом ФСТЭК "Методика определения актуальности угроз безопасности персональных данных при их обработке в информационных системах персональных данных" определяем степень исходной защищенности ИСПДн.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 8.
Таблица 8 - Показатели исходной защищенности ИСПДн
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности | ||
Высокий |
Средний |
Низкий | |
1. По территориальному размещению: | |||
Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; |
- |
- |
+ |
Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); |
- |
- |
+ |
Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; |
- |
+ |
- |
Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; |
- |
+ |
- |
Локальная ИСПДн, развернутая в пределах одного здания. |
+ |
- |
- |
2. По наличию соединения с сетями общего пользования: | |||
ИСПДн, имеющая многоточечный выход в сеть общего пользования; |
- |
- |
+ |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; |
- |
+ |
- |
ИСПДн, физически отделенная от сети общего пользования. |
+ |
- |
- |
3. По встроенным (легальным) операциям с записями баз ПДн: | |||
Чтение, поиск; |
+ |
- |
- |
Запись, удаление, сортировка; |
- |
+ |
- |
Продолжение таблицы 8 - Показатели исходной защищенности ИСПДн | |||
Модификация, передача. |
- |
- |
+ |
4. По разграничению доступа к ПДн: | |||
ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
- |
+ |
- |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; |
- |
- |
+ |
ИСПДн с открытым доступом. |
- |
- |
+ |
5. По наличию соединений с другими базами ПДн иных ИСПДн: | |||
Интегрированная ИСПДн |
- |
- |
+ |
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн |
+ |
- |
- |
6. По уровню обобщения (обезличивания) ПДн: | |||
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д.); |
+ |
- |
- |
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; |
- |
+ |
- |
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн). |
- |
- |
+ |
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: | |||
ИСПДн, предоставляющая всю базу данных с ПДн; |
- |
- |
+ |
ИСПДн, предоставляющая часть ПДн; |
- |
+ |
- |
ИСПДн, не предоставляющая никакой информации. |
+ |
- |
- |
Исходная степень защищенности определяется следующим образом:
- 1. ИСПДн имеет Высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет Средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности. 3. ИСПДн имеет Низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.
При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 , а именно:
- - 0 - для маловероятной угрозы; - 2 - для низкой вероятности угрозы; - 5 - для средней вероятности угрозы; - 10 - для высокой вероятности угрозы.
По значению реализации угрозы ставится вербальная интерпретация реализуемости угрозы, если:
- - 0?Y?0.3 - низкая возможность реализации угрозы, - 0.3 - 0.6 - Y>0.8 - очень высокая возможность реализации угрозы.
Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:
- - низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн; - средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн; - высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.
Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 9.
Таблица 9 - Правила отнесения угрозы безопасности ПДн к актуальной
Возможность реализации угрозы |
Показатель опасности угрозы | ||
Низкая |
Средняя |
Высокая | |
Низкая |
Н |
Н |
А |
Средняя |
Н |
А |
А |
Высокая |
А |
А |
А |
Очень высокая |
А |
А |
А |
Похожие статьи
-
МОДЕЛЬ УГРОЗ безопасности персональных данных при их обработке в информационной системе персональных данных "ИСПДн ЧТК" Челябинской Телевизионной...
-
Постановление Правительства Российской Федерации №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах...
-
Для определения актуальных угроз безопасности, необходимо учитывать два значения. Первый показатель - это уровень исходной защищенности информационной...
-
Программное средство "Зарплата и управление персоналом" ПС "1С: Зарплата и управление персоналом 8.0" НАО "Вальмонт индастрис" (далее - ЗУП система)...
-
Объектом обследования являются ИС, используемые на предприятии, архитектура КИВС и ее функционирование. Для определения перечня и границ ИС были...
-
Обследование проводилось с целью сбора сведений об информационных системах персональных данных НАО "Вальмонт индастрис" для последующего проведения...
-
Перечень СЗИ, используемых в НАО "Вальмонт индастрис", представлен в таблице 4. Специальная защита компонентов ИС не осуществляется. Все применяемые...
-
2.1. ИСПДн класса К3 Заказчика характеризуются сосредоточенностью на территории занимаемого Заказчиком помещения без подключения к сетям общего...
-
4.1. Работы по аттестации ИСПДн класса К3 Заказчика должны носить комплексный характер, охватывая все элементы системы. 4.2. Работа должна быть выполнена...
-
Должны быть выполнены следующие работы: № п/п Наименование работ Результат работ (отчетная документация) 1 Установка и настройка Microsoft Windows XP...
-
Введение - Формирование требований к системе защиты персональных данных
Объектом исследования данной курсовой работы является НАО "Вальмонт индастрис". Предметом исследования курсовой работы являются требования к системе...
-
6.1. "Аттестат соответствия" оформляется и выдается после утверждения заключения по результатам проведенных аттестационных испытаний. 6.2. "Аттестат...
-
При рассмотрении вопросов защиты АС целесообразно использовать четырехуровневую градацию доступа к хранимой, обрабатываемой и защищаемой АС информации....
-
Защита информации в БД - Банки и базы данных. Системы управления базами данных
Целью защиты информации является обеспечение безопасности ее хранения и обрабатывания. Процесс построения эффективной защиты начинается на начальных...
-
Идентификация и оценка информационных активов Информационный актив является компонентом системы, в которую организация напрямую вкладывает средства, и...
-
Понятие модели нарушителя. Типы моделей - Угрозы информационным ресурсам
Угроза безопасности - потенциальное нарушение безопасности, любое обстоятельство или событие, которое может явиться причиной нанесения ущерба...
-
Физические модели БД - Банки и базы данных. Системы управления базами данных
Под физической моделью БД понимается способ размещения данных на устройствах внешней памяти и способ доступа к этим данным. Каждая СУБД по-разному...
-
Назначение и функции программной системы Разработанная база данных "Библиотека" предназначена для использования в учреждениях библиотек. Основной...
-
Количество рабочих станций, всего 20 Количество ПК, работающих в сети 21 Характеристики компьютеров От amd phenom 1055t и выше Операционная система...
-
ИЕРАРХИЧЕСКАЯ МОДЕЛЬ ДАННЫХ ИМД основана на понятии деревьев, состоящих из вершин и ребер. Вершине дерева ставится в соответствие совокупности атрибутов...
-
- Подключение к исходной базе данных пользователей внешних информационных систем; - Отказ в доступе к желаемому ресурсу, если пользователем не пройдена...
-
Модели транзакций - Банки и базы данных. Системы управления базами данных
Под транзакциями понимаются действия, производимые над базой данных и переводящие ее из одного согласованного состояния в другое согласованное состояние....
-
Уровни и типы моделей БД - Банки и базы данных. Системы управления базами данных
Любая БД отражает информацию об определенной предметной области. В зависимости от уровня абстракции, на котором представляется предметная область,...
-
Источниками угроз НСД в информационной системе могут быть: Нарушитель; Носитель вредоносной программы; Аппаратная закладка. Для источников угроз - людей,...
-
Защита корпоративной информации - Защита информации
Однако при решении этой проблемы предприятия часто идут на поводу у компаний-подрядчиков, продвигающих один или несколько продуктов, решающих, как...
-
В настоящее время существует несколько видов СУБД. Для создания базы данных "Учет посещаемости в детском саду" была выбрана СУБД Paradox. Выбор...
-
Требования к базе данных По желанию заказчика база данных должна хранить информацию об охранниках, охраняемых объектах, прохождении аттестаций, позволять...
-
При использовании этого способа данные во всех консолидируемых областях должны располагаться идентично. Для консолидации следует выполнить следующие...
-
Введение - Система управления базами данных
Развитие средств вычислительной техники обеспечило для создания и широкого использования систем обработки данных разнообразного назначения....
-
Физическая защита Безопасность информационной системы зависит от окружения, в котором она функционирует. Необходимо принять меры для защиты зданий и...
-
Классификация источников угроз - Проектирование средств защиты информации
Обозначение Определение категории Уровень угрозы Антропогенные источники угроз Внутренние по отношение к АС А1 Технический персонал, который обслуживает...
-
SPSS Modeler [29] - это программный комплекс, позволяющий строить прогностические модели и применять эту информацию при принятии решений на уровне...
-
1. Общие сведения 1.1 Наименование Система информационной безопасности ФГБОУ ВПО "Нижегородский государственный архитектурно-строительный университет" 2....
-
Регистрация нового пользователя в системе возможна двумя способоами: 1) Самостоятельная регистрация пользователя; 2) Регистрация пользователя...
-
ЗАКЛЮЧЕНИЕ - Разработка модели программно-аппаратной защиты на предприятии
В данном курсовом проекте я рассмотрела и проанализировала часть средств для обеспечения защиты информации на предприятиях разного уровня организации...
-
Структура и процесс функционирования системы управления базами данных - Разработка базы данных
СУБД является прикладным программным обеспечением, предназначенным для решения конкретных прикладных задач и выполнения системных функций, расширяющих...
-
Данный курсовой проект посвящен разработке модели программно-аппаратной защиты информации на предприятии. Проблема защиты информации на предприятии...
-
Запросы на выборку - Банки и базы данных. Системы управления базами данных
Запросы используются для получения пользователем информации, содержащейся в БД, в удобном для него виде. Результат запроса отображается для пользователя...
-
Каждая СУБД имеет особенности в представлении структуры таблиц, связей, определении типов данных и т. д. которую необходимо учитывать при проектировании....
-
Структура SQL - Банки и базы данных. Системы управления базами данных
Широкое развитие информационных систем и связанная с этим унифицированность информационного пространства привело к необходимости создания стандартного...
Частная модель угроз ПДн, обрабатываемых в ИСПДн "Бухгалтерия и кадры" - Формирование требований к системе защиты персональных данных