Модель угроз безопасности персональных данных - Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению

Локальная ИСПДн, развернутая в пределах одного здания

+

2. По наличию соединения с сетями общего пользования

ИСПДн, физически отделенная от сети общего пользования

+

3. По встроенным (легальным) операциям с записями баз ПДн

Запись, удаление, сортировка

+

4. По разграничению доступа к ПДн

ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн;

+

5. По наличию соединений с другими базами ПДн иных ИСПДн:

ИСПДн, в которой используется одна база ПДн, принадлежащая организации -- владельцу данной ИСПДн

+

6. По уровню обобщения (обезличивания) ПДн

ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации;

+

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

ИСПДн, предоставляющая часть Пдн

+

Характеристики ИСПДн

42,86%

57,14%

0,00%

Угроза

Анализ реализации мер защиты

Вероятность реализации угрозы (коэффициент Y2)

Возможность реализации угрозы

(коэффициент Y)

Факторы, определяющие опасность угрозы

Показатель опасности угрозы

Актуальность угрозы

1. Угрозы утечки информации по техническим каналам

1.1 Угрозы утечки акустической (речевой) информации

Угрозы утечки акустической (речевой) информации

Функции голосового ввода и воспроизведения ПДн акустическими средствами ИСПДн отсутствуют.

Маловероятно

(0)

Низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн. Стоимость реализации угрозы не сопоставима с ценностью и возможно полученным объемом ПДн.

Низкая

Неактуальная

1.2 Угрозы утечки видовой информации

Угрозы утечки видовой информации

Расположение средств отображения средств вычислительной техники и жалюзи на окнах помещений исключают возникновение прямой видимости между средством наблюдения и носителем ПДн.

Маловероятно

(0)

Низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Низкая

Неактуальная

1.3 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (далее ПЭМИН)

Утечка информации по каналам ПЭМИН

Мер защиты информации от утечки по каналам ПЭМИН не принято.

Высокая вероятность

(10)

Высокая

(0,75)

Реализация угрозы может привести к нарушению конфиденциальности.

Средняя

Актуальная

2. Физические угрозы

2.1 Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн

Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение.

Маловероятно

(0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Неактуальная

2.2 Угрозы стихийного характера

Угрозы стихийного характера

В помещении, где расположен сервер БД, установлена пожарная сигнализация. Организовано резервное копирование на съемные и несъемные носители. Регламент резервного копирования утвержден.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Средняя

Неактуальная

2.3 Преднамеренные действия внешнего нарушителя

Повреждение каналов связи (кабелей), выходящих за пределы контролируемой зоны

Кабельные линии выходят за пределы контролируемой зоны

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы может привести к временному нарушению доступности ПДн.

Низкая

Неактуальная

Кража технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование. Ведется учет носителей ПДн.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности и доступности ПДн.

Средняя

Неактуальная

Порча или уничтожение технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Средняя

Неактуальная

Подлог носителей, содержащих недостоверную информацию

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

ПДн хранятся на учтенных съемных носителях.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы приведет к нарушению достоверности ПДн

Средняя

Неактуальная

Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны

Кабельные линии выходят за пределы контролируемой зоны.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Внедрение аппаратных закладок в технические средства ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн, закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Неактуальная

2.4 Преднамеренные действия внутреннего нарушителя

Кража технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях. Организовано и регламентировано резервное копирование.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Средняя

Неактуальная

Порча или уничтожение технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Средняя

Неактуальная

Подлог носителей, содержащих недостоверную информацию

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы приведет к нарушению достоверности ПДн.

Средняя

Неактуальная

Изменение режимов работы технических средств ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Физический доступ к кабельным линиям, находящимся в пределах контролируемой зоны затруднен.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

Низкая

Неактуальная

Несанкционирован-ное проводное подключение к кабельной линии (коммуникацион-ному оборудованию) в пределах контролируемой зоны

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Физический доступ к коммуникационному оборудованию и кабельным линиям затруднен. Коммутационное оборудование расположено в шкафу под замком в коридоре.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн

Средняя

Актуальная

Внедрение аппаратных закладок в технические средства ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн

Средняя

Неактуальная

2.5 Непреднамеренные действия внутреннего нарушителя

Непреднамеренная утрата носителей информации

Организовано и регламентировано резервное копирование. ПДн хранятся на учтенных съемных носителях.

Маловероятно (0)

Средняя

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Средняя

Неактуальная

Непреднамеренный вывод из строя или изменение режимов работы технических средств ИСПДн

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Неактуальная

Непреднамеренное повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Физический доступ к кабелям, находящимся в пределах контролируемой зоны затруднен.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

Низкая

Неактуальная

2.6 Угрозы технического характера

Потеря данных в результате отказа носителей информации

Организовано и регламентировано резервное копирование.

Маловероятно (0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Средняя

Неактуальная

Отказ внешних источников энергоснабжения

Для технических средств обработки ПДн предусмотрены источники бесперебойного питания.

Низкая

Вероятность

(2)

Средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

Низкая

Неактуальная

Резкие колебания напряжения в электрической сети

Для технических средств обработки ПДн предусмотрены источники бесперебойного питания.

Низкая

Вероятность

(2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Низкая

Неактуальная

3. Угрозы несанкционированного доступа

3.1 Преднамеренные действия нарушителя

Внедрение программных закладок

Программные средства не сертифицированы на отсутствие недекларированных возможностей. Контроль целостности программной среды не осуществляется.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Запуск операционной системы с внешнего (сменного) носителя

Использование сменных носителей не ограничено.

Высокая вероятность

(10)

Высокая

(0,75)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Внедрение вредоносных программ

Используются средства антивирусной защиты.

Низкая

Вероятность

(2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т. п.)

Полномочия пользователей ограничены рамками служебных обязанностей.

Низкая

Вероятность

(2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Несанкционирован-ный доступ к информации с использованием прикладного программного обеспечения

Полномочия пользователей по установке и запуску прикладного ПО ограничены. Использование сменных носителей не ограничено.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Несанкционирован-ный доступ к информации с использованием специально созданного программного обеспечения

Типовой состав ПО не включает средства создания программного обеспечения. Использование сменных носителей не ограничено.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Несанкционирован-ное копирование информации на внешние (сменные) носители

Использование сменных носителей не ограничено. Ведется учет сменных носителей ПДн.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Средняя

Актуальная

Подбор аутентификацион-ных данных пользователя

Установлены требования к сложности паролей.

Маловероятно

(0)

Низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Неактуальная

Изменение режимов работы или отключение средств защиты информации

Доступ к средствам защиты информации имеют только администраторы ИСПДн.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

3.2 Непреднамеренные действия нарушителя

Непреднамеренный запуск вредоносных программ

Используются средства антивирусной защиты.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

Непреднамеренная модификация (уничтожение) информации

Утверждена матрица доступа. Имеются инструкции пользователей.

Низкая вероятность

(2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

Средняя

Актуальная

Непреднамеренное изменение режимов работы или отключение средств защиты информации

Доступ к средствам защиты информации имеют только администраторы ИСПДн.

Низкая вероятность (2)

Средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

Средняя

Актуальная

4. Угрозы персонала

Преднамеренное разглашение конфиденциальной информации

Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях.

Низкая вероятность

(2)

Средняя

(0,35)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Средняя

Актуальная

Непреднамеренное разглашение конфиденциальной информации

Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

Средняя

Актуальная

Подлог недостоверной информации

Ведется частичная регистрация действий пользователей ИСПДн.

Средняя вероятность

(5)

Средняя

(0,5)

Реализация угрозы приведет только к нарушению достоверности ПДн.

Средняя

Актуальная