 |
Вероятность реализации угроз безопасности ПДн
|
|
|
|
УТВЕРЖДАЮ
Руководитель Компании
ООО «Наша компания»
ФИО
_______________________
«» __________ 20 __ г.
ЧАСТНАЯ МОДЕЛЬ УГРОЗ
ИСПДН “Наша компания:
сотрудники и контрагенты”
Настоящий документ подготовлен в рамках выполнения работ по проектированию системы защиты персональных данных для информационной системы персональных данных №1 «Наша компания: сотрудники и контрагенты» (далее – ИСПДн НК:СК).
ИСПДн НК:СК предназначена для решения задач управления персоналом и реализации уставных целей. Объекты ООО «Наша компания» размещаются на территории г. _________. В составе ИСПДн НК:СК функционирует 20 АРМ и 2 сервера. Рассматриваемая ИСПДн НК:СК имеет подключение к сетям общего пользования и международного обмена. Все компоненты ИСПДн НК:СК находятся на одном объекте, внутри контролируемой зоны. Обработка персональных данных ведется в многопользовательском режиме, без ограничения прав доступа. Все технические средства находятся в пределах РФ. К персональным данным предъявляются требования целостности и доступности.
В ИСПДн НК:СК обрабатываются данные второй категории персональных данных. Объем обработки не превышает 1 000 записей о субъектах ПДн.
При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей ИСПДн НК:СК. Все пользователи имеют собственные роли: администратор безопасности, пользователи с правом чтения-записи, пользователи с правом чтения данных.
Модель вероятного нарушителя безопасности персональных данных
По признаку принадлежности к ИСПДн НК:СК все нарушители делятся на две группы: внутренние, имеющие непосредственный доступ к ИСПДн, и внешние, без прямого доступа к ИСПДн - реализующие угрозы из внешних сетей связи.
|
|
|
Внешними нарушителями могут быть:
● криминальные структуры;
● недобросовестные конкуренты.
Внешний нарушитель имеет следующие возможности:
● осуществлять несанкционированный доступ (НСД) к каналам связи, выходящим за пределы служебных помещений;
● осуществлять НСД через автоматизированные рабочие места, подключенные к сетям связи общего пользования;
● осуществлять НСД к информации с использованием специальных программных воздействий, включая вредоносные программы и программы-закладки.
Показатели исходной защищенности ИСПДн НК:СК
Справочно: необязательно полностью публиковать все поля данной таблицы, вполне достаточно включить в документ только те строки, в которых будут отмечены рабочие значения, в данном документе рабочие значения маркированы знаками “плюс”, отличающимися размером и цветом.
| Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
| Высокий | Средний | Низкий | |
| 1. По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | – | – | + |
| городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | – | – | + |
| корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | – | + | – |
| локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | – | + | – |
| локальная ИСПДн, развернутая в пределах одного здания | + | – | – |
| 2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; | – | – | + |
| ИСПДн, имеющая одноточечный выход в сеть общего пользования; | – | + | – |
| ИСПДн, физически отделенная от сети общего пользования | + | – | – |
| 3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; | + | – | – |
| запись, удаление, сортировка; | – | + | – |
| модификация, передача | – | – | + |
| 4. По разграничению доступа к персональным данным: | – | + | – |
| ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; | |||
| ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | – | – | + |
| ИСПДн с открытым доступом | – | – | + |
| 5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); | – | – | + |
| ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн | + | – | – |
| 6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) | + – – | – + – | – – + |
| 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн; | – | – | + |
| ИСПДн, предоставляющая часть ПДн; | – | + | – |
| ИСПДн, не предоставляющая никакой информации. | + | – | – |
|
|
|
ИСПДн НК:СК имеет средний уровень исходной защищенности, так как не менее 70% характеристик соответствуют уровню не ниже «средний». Показатель исходной защищенности Y1=5.
|
|
|
Вероятность реализации угроз безопасности ПДн
Справочно: под вероятностью реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности для ИСПДн в складывающихся условиях обстановки. Коэффициент вероятности реализации (Y2) определяется по 4 вербальным градациям:
● маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (Y2=0);
● низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию (Y2=2);
● средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры безопасности ПДн недостаточны (Y2=5);
● высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры обеспечения безопасности ПДн не приняты (Y2=10).
| Угроза безопасности ПДн | Коэффициент вероятности реализации (Y2) |
| угроза модификации BIOS | |
| угроза перехвата управления загрузкой | |
| угроза НСД с применением стандартных функций операционной системы | |
| угроза НСД с помощью прикладной программы | |
| угроза НСД с с применением специально созданных для этого программ | |
| угроза НСД при передаче информации по внешним каналам | |
| угроза утечки информации при удаленном доступе к информационным ресурсам | |
| угроза утечки информации с использованием копирования её на съемные носители | |
| угроза утечки информации посредством её печати на множительной технике | |
| угроза утечки информации за счет её несанкционированной передачи по каналам связи | |
| угроза внедрения вредоносных программ с использованием съемных носителей | |
| угроза «Анализ сетевого трафика» | |
| угроза сканирования открытых портов, служб и соединений | |
| угроза обхода системы идентификации и аутентификации сообщений | |
| угроза обхода системы идентификации и сетевых объектов | |
| угроза внедрения ложного объекта сети | |
| угроза навязывания ложного маршрута | |
| угроза перехвата и взлома паролей | |
| угроза подбора паролей доступа | |
| угроза типа «Отказ в обслуживании» | |
| угроза внедрения троянских программы | |
| угроза атаки типа «Переполнение буфера» | |
| угроза удаленного запуска приложений с использованием средств удаленного администрирования | |
| угроза внедрения вредоносных программ через почтовые сообщения | |
| угроза внедрения вредоносных программ через обмен и загрузку файлов | |
| угроза заражения сетевыми червями, использующими уязвимости сетевого ПО |
|
|
|
|
|
|
