 |
Обоснование необходимости защиты персональных данных.
|
|
|
|
Согласно Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (с изменениями от 25 ноября, 27 декабря 2009 г., 28 июня, 27 июля 2010 г.) при обработке персональных данных необходимо принимать организационные и технические меры, в том числе использовать шифровальные, криптографические средства для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
Перечень угроз.
Информационные системы ПДн представляют собой совокупность информационных и программно-аппаратных элементов, а также информационных технологий, применяемых при обработке ПДн.
Основными элементами ИСПДн являются:
· персональные данные, содержащиеся в базах данных, как совокупность информации и ее носителей, используемых в ИСПДн;
· информационные технологии, применяемые при обработке ПДн;
· технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации) (далее – технические средства ИСПДн);
· программные средства (операционные системы, системы управления базами данных и т.п.);
· средства защиты информации;
· вспомогательные технические средства и системы (ВТСС) – технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях (далее – служебные помещения), в которых расположены ИСПДн, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, средства и системы оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электронной оргтехники, средства и системы электрочасофикации).
|
|
|
Для рассмотрения всех угроз воспользуемся РД ФСТЭК РФ базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Основными факторами риска[2] для объекта ИС, рассматриваемыми при проведении работ по аттестации, являются:
- несанкционированный доступ к техническим и программным средствам ИС с целью временного изменения конфигурации ИСПДн;
- неисправности и нарушения функционирования программ и оборудования, отказ в санкционированном доступе к оборудованию, данным, нарушение целостности или доступности отдельных составляющих ПО ИС, вызванные несанкционированным проникновением к элементам ИС, злым умыслом заинтересованных в этом лиц, а также непреднамеренными действиями лиц, имеющих доступ к отдельным элементам ИС;
- нарушение конфиденциальности отдельных данных (паролей доступа, установленных привилегий доступа, используемых идентификаторов имен и пр.), из-за непреднамеренных или умышленных действий персонала ИС;
- несанкционированный доступ к системным и прикладным ресурсам, программам, наборам данных с целью внесения изменений в конфигурационные файлы, изменения полномочий доступа, внедрения программных закладок, нарушения целостности программной среды;
|
|
|
В качестве уязвимых мест ИС - элементов аппаратуры и оборудования, программ и данных, которые могут быть подвергнуты воздействию факторов риска рассматриваются:
- все элементы оборудования ИС - относительно преднамеренных злоумышленных воздействий, НСД, случайных отказов и сбоев;
- технические и программные средства, элементы аппаратуры и оборудования ИС - относительно нарушения целостности, доступности его элементов, а также нарушения конфиденциальности различного рода служебной информации, хранящейся в составных элементах ИС;
- все системное и прикладное программное обеспечение и наборы данных - относительно НСД.
6 Проверка соответствия предложенных СЗИ 1 классу ИСПДн.
|
|
|
