Bezpečnost

Informace o hrozbě modelu. Private Důvěrné bezpečnostní hrozby model hrozeb pro banku

Zatím mohou být rozděleny do autorizovaného a náhodného. Zahraniční nebezpečí může mít teroristy, zahraniční zpravodajské agentury, kriminální skupiny, konkurence atd., Které mohou blokovat, kopírovat a dokonce zničit informace o hodnotách pro obě strany.

Základní model hrozby

Vnitřní hrozba "úniku" informací je taková hrozba, kterou zaměstnanci vytvoří Určitý podnik. Mohou sankcionovat hack a používat ji v osobních zájmech. To je možné, pokud společnost nestanoví technické opatření a řízení přístupu.

Právo na ochranu osobních údajů zaručených Ústavou Ruské federace pro každého občana.

Úrovně ochrany

Sám informační systém zabezpečení může mít čtyři. Všimněte si, že volba fondů definuje provozovatele na základě regulačních akcí (část 4 článku 19 federálního zákona "o osobních údajích").

Požadavky nezbytné pro zajištění čtvrté úrovně bezpečnosti osobních údajů: \\ t

organizace by měla vytvořit režim, který zabraňuje pronikání do prostor osob, které k nim nemají přístup;
je nutné postarat se o bezpečnost osobních souborů;
hlava musí schválit provozovatele, jakož i dokumenty, ve kterých je seznam osob, které jsou povoleny z úředních povinností kontaktovat důvěrné informace jiných zaměstnanců;
využití nástrojů ochrany informací, které prošly postupem pro posuzování bezpečnosti informací.

Pro zajištění třetí úrovně ochrany je nutné dodržovat všechny požadavky čtvrté úrovně. A další je přidána - oficiální (zaměstnanec) je pověřen odpovědný za zajištění bezpečnosti osobních údajů.

Pro druhou úroveň bezpečnosti je charakteristická, že operátor nebo samotný zaměstnanec může mít přístup k němu být přístupný. A také zahrnuje všechny požadavky třetí úrovně bezpečnosti.

A konečně, aby byla zajištěna první úroveň bezpečnosti, musíte splňovat všechny výše uvedené požadavky a zajistit dodržování následujících odstavců:

instalace v elektronickém protokolu zabezpečení takového systému, který by mohl automaticky nahradit přístup zaměstnanců v souvislosti se změnou svých pravomocí;
jmenování osoby (zaměstnanec) za zajištění bezpečnosti osobních údajů v informačním systému nebo uložení jedné ze strukturálních jednotek funkcí pro zajištění této bezpečnosti.

Řízení zabezpečení Provozovatel musí vyrábět více než jednou za tři roky.

Má právo poučit tento případ právní subjektu nebo osobám, které mají licenci na to uzavřít dohodu s nimi ("požadavky na ochranu osobních údajů při zpracování v informačních systémech osobních údajů z" 1. listopadu 2012 Č. 1119).

Zajištění vysoké úrovně ochrany

Zákon má právo na právní subjekty identifikovat opatření ochrany svých důvěrných informací. Nebuďte zranitelní - přijměte nezbytná opatření.

Rozpočtová instituce Chuvash Republic

"Yadrinsky komplexní centrum pro sociální údržbu obyvatelstva"

Ministerstvo práce a sociální ochrany

Chuvash Republic

Schváleno podle objednávky

Boo "Yadrinsky Kzson"

Mintuda Chuvashia.

Model ochrany osobních údajů

při jejich zpracování v informačním systému

osobní údaje "Účetnictví a rámce"

yudrin 2018.

Označení a zkratky 4

Podmínky a definice 4

Úvod 6.

Popis osobního informačního systému

"Účetnictví a rámečky" BU "Yadrinsky Kzson" Mintuda Chuvashia 7

1.1 Charakteristika ochranných objektů 7

"Účetnictví a rámy" BU "BU" Yadrinsky Kzson "Mintuda Chuvashia 8

1.3 Použití ochranných prostředků 8

1.4 Model fungování CTF "Účetnictví a rámečky

Boo "Yadrinsky Kzson" Mintuda Chuvashia 9

1.5 Ovládané zóny BU "Yadrinsky Kzson" Minthouse Chuvashia 10

"Účetnictví a rámy" BU "Yadrinsky Kzson" Mintuda Chuvashia 10

Strukturální a funkční charakteristiky CD "Účetnictví a rámce"

Boo "Yadrinsky Kzson" Mintuda Chuvashia 12

Chráněné zdroje CD "Účetnictví a rámce" BU "Yadrinsky Kzson"
Mintruda Chuvashia 12.
Hlavní hrozby bezpečnosti "Účetnictví a rámy"
Boo "Yadrinsky Kzson" Mintuda Chuvashia 13

4.1. Informace Únikové kanály 13

4.1.1. Hrozby únikového akustického (řeči) informace 13

4. 13

4.1.3. Hrozby úniku informací na elektromagnetických kanálech

záření a sklápění (pemin) 14

4.2 Hrozby neoprávněného přístupu k dot "Účetnictví a rámce"

Boo "Yadrinsky Kzson" Minthouse Chuvashia 14

4.3. Zdroje hrozeb neoprávněného přístupu k důstojnosti "Účetnictví a

rámy "Bu" Yadrinsky Kzson "Minthouse Chuvashia 15

4.3.1. Zdroj hrozby NSD - Violák 15

4.3.2. Zdroj hrozby NSD - Škodlivá programová dopravci 17

5. Model hrozeb bezpečnosti osobních údajů při jejich zpracování

informační systém osobních údajů "Účetnictví a rámce"

Boo "Yadrinsky Kzson" Mintuda Chuvashia 17

5.1. Stanovení úrovně ochrany ochrany zdrojů "Účetnictví a rámečky" 18

5.2. Stanovení pravděpodobnosti realizace hrozeb v důstojnosti "Účetnictví a rámečky"

Boo "Yadrinsky Kzson" Mintuda Chuvashia 19

BU "Yadrinsky Kzson" Mintruda Chuvashia 21

Boo "Yadrinsky Kzson" Mintuda Chuvashia 23

5.5. Stanovení relevance hrozeb v přebírání 24

6. Model porušovače CD "Účetnictví a rámy" BU "Yadrinsky Kzson"

Minthouse Chuvashia 26.

6.1. Popis porušovatelů (zdroje útoků) 33

6.2. Stanovení typu porušovacího CDN "Yadrinsky Kzson"

Mintruda Chuvashia 34.

6.3. Úroveň kryptografické ochrany PDNS v PhD 34

Závěr 34.

Označení a zkratky

VTS - pomocné technické prostředky

Kód - osobní datový informační systém

KZ - řízené zóny

Já - firewall

NDV - Non-deklarované příležitosti

NSD - neoprávněný přístup

OS - Operační systém

SCSS - základní technické nástroje

PDN - osobní údaje

PPO - aplikovaný software

Pramení - boční elektromagnetické záření a uvedení

PMW - software a matematický dopad

SZPDN - Systém ochrany osobních údajů

SKZI - prostředek kryptografické ochrany informací

SF - Provoz Středa Ski

II - Zdroje bezpečnosti ohrožení I-OH kategorie (I \u003d 0,1 ..., 8), kde I0 - vnější
Porušitel, a ..., ..., a8 - interní porušovatele o klasifikaci FSTC

FSB Ruska - Federální bezpečnostní služba Ruské federace

FSTC Rusko - federální služby pro technické a exportní kontrolu

Termíny a definice

Tento dokument používá následující podmínky a určení:

Blokování osobních údajů- Dočasné ukončení sběru, systematizace, akumulace, používání, šíření osobních údajů, včetně jejich převodu.

Virus (počítač, software) -spustitelný softwarový kód nebo interpretovatelná sada instrukcí, které mají vlastnosti neoprávněné distribuce a samo-reprodukce. Vytvořené duplikáty počítačového viru se ne vždy shodují s originálem, ale udržet schopnost dále šířit a seberealizace.

Škodlivý program- program určený k implementaci neoprávněného přístupu a (nebo) dopad na osobní údaje nebo zdroje informačního systému Osobní údaje.

Pomocné technické prostředky a systémy- Technické prostředky a systémy, které nejsou určeny pro přenos, zpracování a skladování osobních údajů, instalovaných ve spojení s technickými prostředky a systémy určených pro zpracování osobních údajů nebo v místnostech, ve kterých jsou informační systémy instalovány.

Přístup k informacím- Schopnost přijímat informace a používat ji.

Chráněné informace- informace, které jsou předmětem vlastnictví a budou chráněny v souladu s požadavky právních nástrojů nebo požadavků stanovených vlastníkem informací.

Identifikace- přiřazení předmětů a identifikátor přístupu objektů a (nebo) porovnání identifikátoru pro identifikátor se seznamem přiřazených identifikátorů.

Informační systém osobních údajů - Informační systém, který je souborem osobních údajů obsažených v databázi, jakož i informační technologie a technologie a technické prostředky k provádění zpracování těchto osobních údajů pomocí automatizačních nástrojů nebo bez použití těchto prostředků.

Informační technologie - Procesy, metody hledání, sběr, ukládání, zpracování, odevzdání, šíření informací a způsobů, jak provést takové procesy a metody.

Řízená zóna - Prostor (území, budova, část budovy, pokoj), ve kterém je vyloučen nekontrolovaný pobyt neoprávněných osob, stejně jako dopravní, technické a jiné materiální zdroje.

Zásady ochrany osobních údajů- povinný pro dodržování provozovatele nebo jiného získaného přístupu k osobním údajům z požadavku, aby se zabránilo jejich šíření bez souhlasu předmětu osobních údajů nebo přítomnosti jiného právního základu.

Firewall - Místní (jednozkorně komponentní) nebo funkčního softwaru (software-hardware) agent (komplex), implementace řízení informací vstupujících do informačního systému osobních údajů a (nebo) z informačního systému.

Nedeventované příležitosti - Funkční funkce výpočetní techniky a (nebo) softwaru, který není popsán nebo neodpovídá dokumentaci popsané v používání, jehož je možné porušovat důvěrnost, dostupnost nebo integritu zpracovávaných informací.

Neoprávněný přístup (neoprávněné akce)- přístup k informacím nebo informacím s informacemi prováděnými s porušením zavedených práv a (nebo) pravidel pro přístup k informacím nebo akcím s ním s ní používajícími pravidelnými prostředky informačního systému nebo prostředky podobné v jejich funkčním účelu a specifikací.

Zpracování osobních údajů- akce (operace) s osobními údaji, včetně sběr, systematizace, akumulace, skladování, zdokonalení (aktualizace, změna), použití, distribuce (včetně přenosu), depersonal, blokování, zničení osobních údajů.

Operátor- Státní orgán, obecní orgán, právní nebo fyzická osoba, organizování a (nebo) zpracovávající osobní údaje, jakož i stanovení cílů a údržba zpracování osobních údajů.

Zachycení (informace) - protiprávní přijetí informací s použitím technických prostředků, které detekuje, přijímá a zpracovává informativní signály.

Osobní informace - veškeré informace týkající se určité nebo definované fyzickou osobou na základě těchto informací (předmětem osobních údajů), včetně jeho příjmení, jméno, patronymické, datum a místo narození, adresy, rodinné, sociální, nemovitostní situace, vzdělávání, povolání , Příjmy, další informace.

Boční elektromagnetické záření a špičky - Elektromagnetické záření technických prostředků pro zpracování chráněných informací vyplývajících jako vedlejší účinek a způsobené elektrickými signály působícími v jejich elektrických a magnetických obvodech, jakož i elektromagnetické fólie těchto signálů pro vodivé čáry, konstrukce a elektrické řetězy.

Pravidla vymezení přístupu- soubor pravidel upravujících práva přístupu subjektů přístupu k přístupovým objektům.

Software Bookmark.- Funkční objekt tajně uzavřený do softwaru, který za určitých podmínek je schopen poskytnout neoprávněný dopad softwaru. Karta Software lze implementovat jako škodlivý program nebo kód programu.

Software (software-matematický) dopad- neautorizovaný dopad na zdroje automatizovaného informačního systému, prováděným použitím škodlivých programů.

Zdroj informačního systému - pojmenovaný prvek systému, aplikovaného nebo hardwaru provozu informačního systému.

Prostředky výpočetní techniky- Sada softwarových a technických prvků systémů zpracování dat schopných fungovat nezávisle nebo jako součást dalších systémů.

Předmět přístupu (předmětu)- osoba nebo proces, jejichž činnosti se řídí pravidly likvidace přístupu.

Technické prostředky informačního systému osobních údajů - Prostředky počítačového inženýrství, informačních a výpočetních komplexů a sítí, prostředků a systémů přenosu, recepce a zpracování osobních údajů (prostředky a systémy zvuků, zvuky, náplně, interkom a televizní zařízení, výrobní nástroje, replikace dokumentů a další technické nápravné nástroje Řeka, grafické, video a alfanumerické informace), software (operační systémy, systémy správy databází atd.), Nástroje ochrany informací.

Osobní zabezpečení dat - kombinace podmínek a faktorů, které vytvářejí nebezpečí neoprávněného, \u200b\u200bvčetně náhodného přístupu k osobním údajům, což je výsledek, z nichž zničení, změna, blokování, kopírování, šíření osobních údajů, jakož i další neoprávněné akce při jejich zpracování Informační systém osobní údaje.

Zničení osobních údajů - akce, v důsledku nichž je nemožné obnovit obsah osobních údajů v informačním systému osobních údajů nebo v důsledku toho, z nichž jsou zničeni materiálové nosiče.

Úniku (chráněné) informace o technických kanálech- nekontrolované šíření informací od dopravce chráněných informací prostřednictvím fyzického prostředí na technické prostředky provádění zachycení informací.

Personální osoba komisaře - Osoba, která na základě smlouvy provozovatel instruuje zpracování osobních údajů.

Integrita informací- Stav informací, ve kterém není změna ve své změně nebo změna se provádí pouze úmyslně subjekty, které mají právo na něj.

Úvod

Tento dokument představuje model informačních bezpečnostních hrozeb (seznam hrozeb) a model porušovatelů (předpoklady o možnosti porušovatele, které mohou využít pro rozvoj a držení útoků, jakož i o omezení těchto možností) Pro vytvoření systému pro ochranu informací (SZI) datových datových datových dat "Účetnictví a rámy" BU "Yadrinsky Kzson" Mintuda Chuvashia.

Model hrozby byl vyvinut v souladu s "metodikou pro stanovení skutečných hrozeb pro bezpečnost osobních údajů při zpracování v informačních systémech osobních údajů", schválený zástupcem ředitele Ruska Ruska 14.02.2008, založený na "Basic Model bezpečnostních hrozeb pro osobní údaje, pokud jsou zpracovávány v osobních datových informačních systémech ", schválené náměstkem ředitelem Ruska Ruska 15.02.2008.

Při tvorbě tohoto modelu následující regulační dokumenty:

Federální zákon ze dne 27. července 2006 č. 149-FZ "o informacích, informačních technologiích a ochraně informací";

Federální zákon 27.07.2006 č. 152-FZ "o osobních údajích";

Vyhláška vlády Ruské federace 01.11.2012 č. 1119 "o schválení požadavků na ochranu osobních údajů při zpracování v informačních systémech osobních údajů";

Objednávka Ruska Ruska ze dne 02.18.2013 č. 21 "o schválení složení a údržby organizačních a technických opatření k zajištění bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů";

Předpisy o vývoji, výrobě, provádění a provozu šifrování (kryptografických) nástrojů ochrany informací (PKZ-2005 pozice) schválené řádem Rusku FSB datováno 09.02.2005 č. 66;

Základní model ohrožení bezpečnosti osobních údajů, pokud jsou zpracovány v informačních systémech osobních údajů schválených náměstkem ředitele Ruska Ruska 15.02.2008;

Metody stanovení současných ohrožení bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů schválených náměstkem ředitele Ruska 14.02.2008;

Metodická doporučení pro rozvoj regulačních právních aktů, které určují bezpečnost osobních údajů, které jsou relevantní při zpracování osobních údajů v informačních systémech osobních údajů provozovaných při provádění příslušných činností schválených vedením 8. centrálního FSB Ruska 31.03 .2015 č. 149/7/2/6-432;

GOST R 50922-2006 "Ochrana informací. Hlavní pojmy a definice ";

GOST R 51275-2006 "Ochrana informací. Informatizační objekt. Faktory ovlivňující informace. Obecná ustanovení ";

GOST R 51583-2014 "Ochrana informací. Postup pro vytváření automatizovaných systémů v bezpečné verzi. Všeobecné. "

1. Popis osobního informačního systémuBu "Yadrinsky Kzson" Mintuda Chuvashia

1.1. Charakteristiky objektyochrana

Informační systém osobních údajů "Účetnictví a rámečky" BOO "Yadrinsky Kzson" Mintuda Chuvashia má následující charakteristiku:

název důstojnosti je "Účetnictví a rámce";
umístění Keen - Yadrinsky Kzson, MintruDa Chuvashia (dále jen instituce);
adresa organizace je Chuvash Republic, Deurin, UL. 30 let vítězství, 29
složení je Cadov - software pro automatizaci účetnictví "1C: Účetnictví státní instituce 8" (výrobce Softekhno LLC); Software "Krb: Výpočet platu pro rozpočtové instituce. Verze 3.5 "(Výrobce Kamin-Soft LLC), SBI ++ System: Elektronické hlášení a správa dokumentů" (výrobce Tensor LLC).

V procesu provádění účetního a personálního workshopu jsou vytvořeny zřízení databází obsahujících následující osobní údaje:

datum narození;

místo narození;

informace o změně názvu;

státní občanství;

adresa registrace a místa bydliště;

rodinný stav, informace o závislých osobách, rodinné složení;

telefonní číslo;

informace o dokumentu certifikující identitu (série, číslo, kdy vydaný někdo);

informace o vzdělávání;

informace o jmenování a pohybu;

informace o informacích práce

informace o ocenění a promo akcích;

informace o posledním pracovišti (profese, průměrný plat, datum propuštění, důvodem pro propuštění, Enterprise);

informace o stavu vojenského účetnictví;

informace o pobytu v zahraničí;

zvláštní dovednosti a kvalita;

informace o nemocničních listech a přerušení;

informace o dovolené (roční, bez platů platů) a odškodnění;

informace o platbách odškodnění dovolené;

informace o nalezení odborového svazu;

číslo účtu;

Číslo účtu.

Tato osobní údaje se týkají dalších kategorií osobních údajů (nikoli zvláštního, nikoli biometrické, nikoli veřejně dostupné) subjekty, které jsou zaměstnanci instituce.

1.3.Využití prostředkůochrana

V současné době usazování institucí používají následující prostředky ochrany: v kadrech a rámech

Software "Kaspersky Internet Security", Certifikát FREC Ruska chybí

Standardní farmingové systémy OS s přenosem přihlášení a hesla uvnitř lokálně výpočetní sítě - pro identifikaci a ověřování uživatelů při přístupu k pracovním stanicím a serverům, včetně určených pro zpracování a ukládání bezpečných informací.

V důstojnosti "účetnictví a rámců" institucí realizovalo následující organizační opatření k ochraně:

Jsou definovány zpracované PDNS a ochranné objekty;

Je určen kruh osob, které se účastní zpracování PDN;

Vymezení uživatelů uživatelů povinností, které jsou nezbytné pro splnění úředních povinností;

Zodpovědný za zajištění bezpečnosti pdnů je jmenován;

Byl schválen koncept bezpečnosti informací;

Schválená bezpečnostní politika informací;

Způsob přístupu a ochrany prostor je organizován, ve kterém je hardware namontován.

Organizované informování a školení zaměstnanců postupu pro zpracování PDNS;

Změny byly provedeny na pracovních řádech zaměstnanců o postupu pro zpracování PDNS a poskytování zadaného režimu ochrany;

Navržené pokyny o akci v případě situací na volné noze;

Uspořádal účetnictví technických prostředků a prostředků ochrany, jakož i dokumentaci pro ně;

Jsou vyrovnány s požadavky regulátorů místnosti s hardwarovými klíči;

Nepřerušované napájecí systémy jsou instalovány na všech klíčových prvcích CDN;

Záložní systém klíčových prvků je zaveden;

Byl proveden školení odpovědných zaměstnanců pomocí technických prostředků ochrany informací.

1.4. Model fungování "účetnictví a rámců" CD "Yadrinsky Kzson" Minthouse Chuvashia

1.5. Ovládané zónyBU "Yadrinsky komplexní centrum pro sociální služby obyvatelstva" Ministerstva práce Chuvash Republic

Hranice řízené oblasti areálu areálu, ve kterých se nachází informační systém osobních údajů "Účetnictví a rámce":

Organizace přijetí na území kontrolované zóny v instituci je svěřena řediteli.

Ředitel je svěřena kontrola v pořadí přijetí do prostor umístěných na území kontrolované zóny instituce.

Kontrola přístupu do prostor umístěných na území řízené zóny instituce, s využitím Místní video dohledu sítě je svěřena řediteli.

Povolující systém vstupu (přístupová matice) byl schválen na "účetnictví a rámce" institucí v souladu s úrovněmi pravomocí zaměstnanců na přístup k prostředkům CDN:

. Správce- má plná přístupová práva ke všem zdrojům CDN (prohlížení, tisk, modifikace, přidávání, vymazání informací, kopírování informací do zaznamenaných externích médií, instalace a konfigurace softwaru a technických prostředků);

. Uživatel- Má omezené přístupová práva k přebírání, nemá právo nainstalovat a konfigurovat software a technické prostředky.

Seznam zdrojů CDN a práv přístupu ke zaměstnancům

v závislosti na úrovni pověření.

Název zdroje
Účetná interní média:
Databáze databáze Hard Magnetic Database, všechny katalogy
Databáze databáze Hard Magnetic Database, katalog databáze
Hard Magnetic Disk Art Zaměstnanec, Všechny katalogy
Hard Magnetic Drive Umělecká zaměstnanec, Osobní katalog
Účtovaná externí média:
Flexibilní magnetické disky
CD / DVD CD
Flash disky
Přenosné tvrdé magnetické disky
Zařízení pro čtení / zápis médií:
Flexibilní diskové jednotky
Jednotky CD / DVD

Periferní zařízení:
Tiskárny

Legenda:

"A" - správce;

"P" - uživatel;

"ARM" je automatizované pracoviště;

"+" - plná přístupová práva;

"-" - omezená přístupová práva.

Kromě toho, ve vztahu k "účetnictví a rámce" institucí, jednotlivci, kteří nemají přístup k řízené zóně, ve kterém jsou umístěny software a technické prostředky, a nejsou registrovaní uživatelé nebo technický personál, ale které mají Autorizovaný přístup k externím komunikačním a informačním zdrojům mimo KZ:

odborníci poskytovatele technické podpory;
specialisté na telefonní sítě (ústředna);
specialisté na klimatické zařízení;
elektrika;
hasiči;
dodavatelé donucovacích orgánů.

Také ve vztahu k "účetnictví a rámcům" institucí jednotlivci, kteří nemají přístupová práva k řízené zóně, ve kterém jsou umístěny software a technické prostředky, a nejsou registrovaní uživatelé nebo technický personál a nemají povoleno přístup k externím komunikačním a informačním zdrojům mimo CW.

2. Strukturální a funkční charakteristiky CD "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Definice strukturálních a funkčních charakteristik "účetnictví a rámců" instituce se provádí za účelem stanovení metod a metod ochrany nezbytných pro zajištění bezpečnosti pdnů.

Index "Účetnictví a rámce" instituce je informačním systémem osobních údajů a podléhá ochraně v souladu s požadavky uloženými k obraně informací při zpracování informací v informačních systémech osobních údajů.

V souladu s vyhláškou vlády Ruské federace ze dne 01.11.2012 č. 1119 "o schválení požadavků na ochranu osobních údajů při zpracování v informačních systémech osobních údajů" a metodologické dokumenty FSTC, následující strukturální a Jsou určeny funkční charakteristiky "účetnictví a rámců":

Typ informačního systému podle kategorie Pd - Kód je informační systém, který zpracovává další kategorie osobních údajů (ne speciální, nikoli biometrické, není veřejně dostupné);

Typ informačního systému v kategorii subjektů - Caiden je informační systém, který vyrábí osobní údaje zaměstnanců provozovatele;

Množství současně zpracovaných osobních údajů do PDNS (počet Enteritů PD) - v informačním systému zároveň se zpracovává v méně než 100 000 osobních údajů;

Struktura informačního systému - přerušovaný je místní informační systém skládající se z automatizovaných pracovišť komplexů v kombinaci do jednotného informačního systému s komunikačním nástrojem bez použití technologie vzdálené přístupu;

Dostupnost připojení k veřejným komunikačním sítím a (nebo) sítí mezinárodních informací o výměně informací - klíče s připojením;

Režim zpracování osobních údajů - Caiden je multiplayer

Diferenciace přístupu uživatelů do informačního systému - Caiden je systém s vymezením přístupových práv;

Umístění - všechny technické prostředky jsou vyhozeny v mezích Ruské federace.

Určení úrovně zabezpečení informačního systému se provádí na základě modelu hrozeb pro bezpečnost osobních údajů v souladu s metodickými dokumenty FSTC, v souladu s vyhláškou vlády Ruské federace 01.11 .2012 č. 1119 "O schválení požadavků na ochranu osobních údajů, pokud jsou zpracovány v osobních datových informačních systémech."

3. Chráněné zdroje Chytil "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Index "Účetnictví a rámce" instituce je kombinací informací a softwarových a hardwarových prvků.

Hlavní prvky kláves "Účetnictví a rámce" jsou:

osobní údaje obsažené v databázích;
informační technologie, jako je soubor technik, metod a metod pro využití výpočetní techniky v PD zpracování;
technické podmínky PDNS "Účetnictví a rámce", provádění PD zpracování (výpočetní techniku \u200b\u200b(SVT), informační a výpočetní komplexy a sítě, prostředky a přenosové systémy, recepce a zpracování PDNS);
software (operační systémy, DBMS, aplikační software);
informační zabezpečení (SZI);
pomocné technické prostředky a systémy (VTS) (technické prostředky a systémy, jejich komunikace, která nejsou určena pro zpracování pdnů, ale umístěny v prostorách, ve kterých jsou technické prostředky uvnitř "účetnictví a rámečky", jako je například výpočetní prostředky Zařízení, prostředky a bezpečnostní systémy a požární signalizace, prostředky a klimatizační systémy, elektronické kancelářské vybavení, telefony atd.).
média chráněných informací používaných v informačním systému v procesu kryptografické ochrany osobních údajů, nositelů klíčových, hesel a ověřování informací SPJA a pořadí přístupu k nim;
prostory, ve kterých zdroje "účetnictví a rámců" souvisí s kryptografickou ochranou osobních údajů.

4. Základní bezpečnostní hrozby Distribuce "Účetnictví a rámce"Bu "Yadrinsky Kzson" Mintuda Chuvashia

4.1. Kanály úniku informací

Při zpracování PDNS v PDNS je možné nastat hrozby bezpečnosti osobních údajů (UBRDN) implementací následujících kanálů úniku kanálů:

hrozby úniku akustického (řeči) informací;
hrozby úniku druhových (vizuálních) informací;
hrozby úniku informací prostřednictvím pamínových kanálů.

4.1.1. Hrozby únikového akustického (řeč)

Výskyt ohrožení úniku akustického (řečové) informací obsažených přímo v řeči projevu řeč je udržován během zpracování PDNS v PDN, je způsobeno přítomností funkcí hlasového vstupu PDNS v DNTS nebo Funkce přehrávání PDN reproduktorem.

4.1.2. Úniky ohrožení kódu

Zdrojem hrozeb úniku druhů (vizuálních) informací jsou jednotlivci, kteří nemají povolený přístup k informacím CDN, jakož i technické prostředky prohlížení, implementované v kancelářských prostorách nebo skrytě používají tito jedinci.

Prostředí diseminace tohoto informativního signálu je homogenní (vzduch).

Hrozby úniku druhů (vizuálních) informací jsou implementovány v důsledku zobrazení PDS pomocí optických (optických elektronických) nástrojů z obrazovkových obrazovek a jiných prostředků pro zobrazení SVT, které jsou součástí CD.

Předpokladem pro realizaci prohlížení (registrace) PDN je přítomnost přímé viditelnosti mezi stanovenými jedinci nebo pozorovacími zařízeními a technickými prostředky CDN, které jsou vizuálně zobrazeny PD.

Zachycení PDNS v důstojnosti může být prováděna jednotlivci s jejich nekontrolovatelným pobytem v kancelářském prostoru nebo v těsné blízkosti k nim pomocí přenosného nositelného vybavení (přenosné fotografie a videokamery atd.), Zvýšení nebo stacionární vybavení, stejně jako přímou Osobní pozorování v kancelářských místnostech nebo s pomocí technických prostředků prohlížení skryté vložené do kancelářských prostor.

4.1.3. Hrozby z úniku informací na elektromagnetických emisních kanálech a lisování (PEMIN)

Zdrojem ohrožení úniku informací o Pamin kanálech jsou jednotlivci, kteří nemají přístup k informacím CAD.

Výskyt hrozby úniku PDNS prostřednictvím Pamin kanálů je možný v důsledku zachycení technickými prostředky nepříznivého (nesouvisející s přímou funkční hodnotou prvků PhDn) informativních elektromagnetických polí a elektrických signálů vyplývajících ze zpracování pdnů s technickými prostředky CAD.

Generování informací obsahujících PDNS a cirkulující v technickém prostředku ve formě elektrických informativních signálů, zpracování a vysílání uvedených signálů v elektrických obvodech technických prostředků, je doprovázena bočními elektromagnetickými emisemi, které mohou být distribuovány mimo meze ČR v závislosti na výkon, emise a velikosti CD.

Registrace PAMIN se provádí za účelem zachycení informací v technických prostředcích provádění PD strojů pomocí zařízení jako součást rádiových přijímačů určených pro obnovu informací. Kromě toho, zachycení peminů je možné pomocí elektronických zařízení pro zachycení informací připojených k komunikačním kanálům nebo technickým prostředkům zpracování PDN ("hardwarové záložky").

4.2. Hrozby neoprávněného přístupu k dot "účetnictví a rámce"Bu "Yadrinsky Kzson" Mintuda Chuvashia

Následující typy NSD hrozeb pro používání softwaru a hardwaru a hardwaru, které jsou implementovány při implementaci neoprávněného, \u200b\u200bvčetně náhodného přístupu, v důsledku kterého se provádí důvěrnost (kopírování neoprávněného distribuce), integrita (zničení, změny) ) a přístupnost (blokování) pdn a zahrnují:

přístupové hrozby (penetrace) do počítačového provozního prostředí pomocí standardního softwaru (nástroje operačního systému nebo aplikovaných programů obecné aplikace);
hrozby pro vytváření abnormálních režimů softwaru (softwaru a hardwaru) na úkor změn úmyslných servisních dat, ignorování omezení a charakteristik informací, které jsou zpracovávány, zkreslení (úprav) samotných dat atd.;
hrozby implementovat škodlivé programy (software a matematický dopad).

Kromě toho jsou možné kombinované hrozby, které jsou kombinací těchto hrozeb. Vzhledem k implementaci škodlivých programů mohou být vytvořeny podmínky pro NSD do provozního prostředí počítače, včetně vytvoření netradičních přístupových informačních kanálů.

4.3. Zdroje hrozeb neoprávněného přístupu k CD "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Zdroje hrozeb NSD v Dodge mohou být:

rušitel;
nosič malwaru;
karta hardwaru.

4.3.1. Zdroj hrozby NSD - porušák

Podle přítomnosti trvalých nebo jednorázových přístupových práv k řízeným zónám (KZ) jsou vetřelci rozděleni do dvou typů:

Externí vetřelci - porušovatelé, kteří nemají přístup k důstojnosti, které realizují hrozby mimo KZ;

Vnitřní porušovače - porušovatelé, kteří mají přístup k KZ, včetně uživatelů CAD.

Možnosti vnějšího a interního porušovatele jsou významně závislé na režimech a organizačních a technických opatřeních působících v rámci ČR, včetně přijetí jednotlivců na PDNS a kontrolu postupu pro provádění práce.

Externí porušák (dále jen "označení I0) přímo nemá přístup k systémům a zdrojům důstojnosti v rámci KZ. Porušitel tohoto typu lze připsat jednotlivcům (externím subjektům, bývalým pracovníkům) nebo organizacím provádějícími útoky s cílem vytvořit PDNS, zavedl falešné informace, porušování výkonnosti nevrhův, postižené integrity pdnů.

Vnitřní porušovatelé jsou osoby, které mají přístup k KZ a km, včetně uživatelů střešního kamene, implementují hrozby přímo do CD.

Domácí potenciální porušovatele v klasifikaci DTP Ruska jsou rozděleny do osmi kategorií, v závislosti na způsobu přístupu a přístupu k PDNS.

První kategorie (dále jen "I1) zahrnuje osoby, které mají autorizovaný přístup k Dodge, ale nemají přístup k PDNS. Tento typ porušovačů zahrnuje úředníky, kteří zajišťují běžné fungování důstojnosti - servisní personál provádějící práci v prostorách, ve kterých jsou technické prostředky uvnitř, zaměstnanci, kteří mají přístup do prostor, ve kterých jsou technické prostředky netrpělivé.

Do druhé kategorie vnitřních potenciálních porušovatelů (dále jen "I2) zahrnuje registrované uživatele CAD, provádění omezeného přístupu ke zdrojům z pracoviště - oprávněných uživatelů CDN, které se zabývají zpracováním PDNS. Tato kategorie porušovatelů zahrnuje registrované uživatele CDN "účetnictví a rámců", zaměstnanců instituce. Registrovaní uživatelé jsou důvěryhodnými osobami a nejsou považovány za porušovatele. Vnitřní potenciální porušovatele druhé kategorie v "Účetnictví a rámce" proto chybí.

Třetí kategorie interních potenciálních porušovatelů (dále jen I3) zahrnuje registrované uživatele CAD, který vzdálený přístup k PDN na distribuovaném informačním systému. Vzhledem k tomu, že se jedná o místní informační systém skládající se z automatizovaných pracovišť, kombinovaný do jediného informačního systému s komunikací s technologií vzdáleného přístupu, pak jsou nepřítomní vnitřní potenciální porušovatelé třetí kategorie.

Do čtvrté kategorie interních potenciálních porušovatelů (dále jen "I4) zahrnuje registrované uživatele body s orgánem bezpečnostního správce segmentu (fragment) CDN. Registrovaní uživatelé CDN "účetnictví a rámců" s pravomocmi správce zabezpečení jsou důvěryhodní osoby a nejsou považovány za porušovatele. Proto neexistují žádné domácí potenciální porušovatele čtvrté kategorie v potenciálu "Účetnictví a rámce".

Pátá kategorie interních potenciálních porušovatelů (dále jen "I5) zahrnuje registrované uživatele CDN s pravomocemi správce systému. Registrovaní uživatelé CDN "účetnictví a rámců" s pravomocmi správce systému CDN jsou důvěryhodní a nejsou považovány za porušovatele. Vnitřní potenciální vetřelci páté kategorie v důstojnosti "účetnictví a rámů" proto chybí.

Do šesté kategorie interních potenciálních poruch (dále jen I6) zahrnuje registrované uživatele vyslaných pravomocí správce zabezpečení. Registrovaní uživatelé CADN "Účetnictví a rámce" s autoritou správce bezpečnosti Celidity "Účetnictví a rámce" jsou důvěryhodní a nejsou považováni za porušovatele. Chybí tedy vnitřní potenciální porušovatele šesté kategorie v "Účetnictví a rámce" v důstojnosti.

Sedmá kategorie interních potenciálních porušovatelů (dále jen "I7) zahrnuje programátoři-vývojáři (dodavatelé) aplikovaného softwaru (PPO) a osoby, které poskytují jeho doprovod do CPF. Aby bylo možné vnitřní potenciální porušovatele sedmé kategorie, kategorie "Účetnictví a rámce" zahrnují programátorské vývojáře, kteří nejsou povoleni uživateli "účetnictví a rámečky", ale mají jednorázový přístup k řízené zóně.

Osmá kategorie vnitřních potenciálních porušovatelů (dále jen I8) zahrnuje vývojáře a obličeje, které poskytují dodávku, údržbu a opravu technických prostředků v PM. Pro vnitřní potenciální porušovatele osmé kategorie, "Účetnictví a rámce" mohou být přičítány zaměstnancům, kteří nejsou oprávněni uživatelé "účetnictví a rámů", ale mají jednorázový přístup k řízené zóně, stejně jako zaměstnanci třetího -Party organizací provádějících údržbu technických prostředků CDN "účetnictví a rámců."

Na základě výše uvedeného by měly být tyto porušovatelé považovány za zdroje hrozeb NSD:

vnější vetřelec ao;
vnitřní porušovač IL, který má autorizovaný přístup k "účetnictví a rámce", ale nemá přístup k pdns. Typ porušovatelů zahrnuje úředníky, kteří zajišťují normální fungování "účetnictví a rámců" dictum - servisní personál provádějící práci v prostorách, ve kterém jsou umístěny technické prostředky phdn "účetnictví a rámců", zaměstnanci, kteří mají přístup do prostor v které technické prostředky jsou uloveny "účetnictví a rámy";
vnitřní porušovač I7, který je programátorem-vývojářem (dodavatelem) PPO nebo osoby, která poskytuje podporu PPP do "účetnictví a personálu";
interní porušovač I8, který je vývojářem nebo osobou, která poskytuje dodávku, podporu a opravu technických prostředků v CD "Účetnictví a rámce".

4.3.2. NSD Zdroj hrozby - Malware nosiče

Dopravce škodlivého programu může být počítačový hardwarový prvek nebo softwarová kontejner.

Pokud je škodlivý program spojen s jakýmkoli aplikačním programem, neboť je považován za jeho dopravce:

Odcizená média, tj. Disketa, optický disk (CD-R, CD-RW), flash paměť, odcizený Winchester, atd.;

Vestavěné média (Winchestery, RAM mikroocrkuits, procesor, systémové desky, čipy, čipy zařízení vložené do systémové jednotky - video adaptér, síťová karta, zvuková karta, modem, vstupní / výstupní zařízení magnetických tuhých a optických kotoučů, napájení atd. .., mikrofiáty přímého přístupu k pneumatikám přenosu dat, I / O porty);

ovody externích zařízení (monitor, klávesnice, tiskárna, modem, skener atd.).

Pokud je škodlivý program spojen s jakýmkoli aplikačním programem, soubory, které mají určité rozšíření nebo jiné atributy, se zprávami přenášenými v rámci sítě, pak jeho nosiče jsou:

pakety přenášené podvýběrovými zprávami;
soubory (text, grafický, spustitelný soubor atd.).

5. Model hrozeb bezpečnosti osobních údajů při zpracování v informačním systému osobních údajů "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Z analýzy vyplývá, že v souladu s požadavky klasifikace informačních systémů osobních údajů "CDN" Účetnictví a rámce "instituce je místním CDN se spojením s veřejnými vztahy.

Tak jako základní model hrozeb bezpečnosti PDNS při zpracování "účetnictví a rámečky", můžete si vzít "model typu hrozeb zabezpečení osobních údajů zpracovávaných v místních informačních systémech osobních údajů, které mají spojení s veřejností Komunikační sítě a (nebo) sítě mezinárodní výměna informací. "

V souladu se specifikovaným typickým modelem bezpečnostních hrozeb PDNS v PDN DVN "Účetnictví a rámce" je možné implementovat následující hrozby bezpečnosti PD:

hrozby úniku informací na technických kanálech;
hrozby NSD do PDS zpracovaných na automatizovaném pracovišti.

Hrozby NSD pro důstojnost "účetnictví a rámců" jsou spojeny s činnostmi porušovatelů, které mají přístup k nákladům, včetně uživatelů CAD, implementující hrozby přímo do interního porušovatele), jakož i porušení, které nemají Přístup k bytům a implementací hrozeb z externích komunikačních sítí ve společném použití (vnější vetřelec).

S ohledem na složení aplikovaných nástrojů pro ochranu, kategorie osobních údajů, kategorie osobních poruch a doporučení "základního modelu bezpečnostních hrozeb osobních údajů, když jsou zpracovány v informačních systémech osobních údajů", je nezbytné Zvažte následující bezpečnostní hrozby "Účetnictví a rámečky".

hrozba úniku akustických informací;
hrozba úniku faktů,
hrozba úniku informací na paminovém kanálu;
hrozba prováděná během provozu operačního systému;
hrozba implementovaná po načtení operačního systému;
ohrožení zavedení škodlivých programů;
hrozba "analýza síťového provozu" s odposlechem informací přenášených po síti;
hrozba skenování zaměřená na identifikaci otevřených přístavů a \u200b\u200bslužeb, otevřených spojení atd.;
hrozba pro detekci hesel;
hrozba NSD nahrazením důvěryhodné sítě;
hrozba typu "odmítnutí údržby";
hrozba spuštění vzdálené aplikace;
hrozba implementace v síti škodlivých programů.

5.1. Stanovení úrovně počáteční chráněné ochrany "Účetnictví a rámce"

Pod úrovní chráněné zdroje je zobecněný ukazatel Y 1 chápán v závislosti na technických a provozních charakteristikách CD.

V souladu s "metodikou pro stanovení současných hrozeb bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů" pro nalezení úrovně úrovní chráněných zdrojů, tj. Hodnoty numerického koeficientu Y 1, je nutné určit ukazatele původní jistoty.

Technické a provozní charakteristiky CAD	Úroveň bezpečnosti
Technické a provozní charakteristiky CAD	Vysoký	Střední	Nízký
1. podle územního umístění:
místní těsto, nasazené v rámci jedné budovy
2. Podle dostupnosti sloučenin s veřejnými sítěmi:
Caiden, s jedním bodovým přístupem ke společné síti;
3. Pro Embedded (Právní) operace s osobními záznamy dat dat:
nahrávání, odstranění, třídění;
4. Na vymezení přístupu k osobním údajům:
Caiden, ke kterému zaměstnanci organizace, kteří jsou identifikováni podle seznamu, mají přístup do seznamu nebo předmětu PD;

Ze analýzy výsledků počáteční ochrany vyplývá, že více než 70% vlastností "účetnictví a rámců" orgánů odpovídá úrovni, které nejsou nižší než "průměr".

V souladu s "metodikou určování současných ohrožení bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů", "Účetnictví a personál" jsou průměrná úroveň počáteční ochrany a numerického koeficientu Y 1 \u003d 5.

5.2. Stanovení pravděpodobnosti realizace hrozeb v důstojnosti "Účetnictví a rámečky"Bu "Yadrinsky Kzson" Mintuda Chuvashia

Pod pravděpodobností implementace hrozby je chápána jako ukazatel definovaný indikátorem, který charakterizuje, jak by mohlo být realizaci specifické hrozby pro bezpečnost pdnů pro tuto impulou fúzi v rozvojových podmínkách situace.

Číselný koeficient (y 2) odhadnout pravděpodobnost hrozby, je určena čtyřmi slovním ratolancí tohoto ukazatele:

nepravděpodobné - neexistují žádné objektivní předpoklady pro hrozbu (y 2 \u003d 0);
nízká pravděpodobnost - objektivní předpoklady pro realizaci hrozby existují, ale opatření, která byla značně obtížná implementovat (Y 2 \u003d 2);
průměrná pravděpodobnost - objektivní předpoklady pro realizaci hrozby existují, ale opatření přijatá k zajištění bezpečnosti PDNS jsou nedostatečné (Y 2 \u003d 5);
vysoká pravděpodobnost - objektivní předpoklady pro provádění hrozby existují a opatření k zajištění bezpečnosti PDN (Y 2 \u003d 10).

Typ ochrany hrozby pdn	Pravděpodobnost provádění hrozby Y2. Zdroj hrozby - kategorizace (I0, I1, AND7, AND8 AND8)
Typ ochrany hrozby pdn		Výsledek Y2 \u003d Max (I0, AND1, AND7, AND8)


1.2. Úniky ohrožení kódu



2.1.1. Krádež PEVM.









2.2.3. Instalace softwaru, který není spojen s výkonem oficiálních povinností






2.3.6. Katastrofa





2.5.1.1. Zachycení zreskatelů řízené zóny




2.5.4. Harmonie uložená falešnou síťovou trasu

5.3. Stanovení možnosti implementace hrozeb pro CD "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Podle výsledků posouzení úrovně počáteční bezpečnosti (Y 1) a pravděpodobností hrozby (Y 2) se vypočítá koeficient realizovatelnosti hrozby (Y) a je stanovena možnost ohrožení.

Koeficient realizovatelnosti hrozby je vypočítán vzorcem:

Y \u003d (Y 1 + Y 2) / 20.

Hodnotou koeficientu realizovatelnosti hrozby Y, verbální interpretace realizace hrozby je formulována takto:

pokud 0 \u003cY≤0.3, pak je možnost hrozby rozpoznána jako nízká;
pokud je 0.3≤YEY≤0.6, pak je možnost ohrožení vykázána jako průměr;
pokud je 0.6≤YY≤0.8, pak je možnost hrozby rozpoznána jako vysoká;
pokud Y\u003e 0.8, možnost hrozby je rozpoznána jako velmi vysoká.

Typ ochrany hrozby pdn	realizace hrozby Y2.	Transfer COEFT CENTER CENTRUM
1. Hrozby z úniku na technických kanálech
1.1. Hrozby o úniku akustických informací
1.2. Úniky ohrožení kódu
1.3. Hrozby úniku informací prostřednictvím peminových kanálů
2. Hrozby neoprávněného přístupu k informacím
*2.1. Hrozby zničení, krádeže hardwaru Delica mediálních informací fyzickým přístupem k prvkům*
2.1.1. Krádež PEVM.
2.1.2. Krádež mediálních informací
2.1.3. Klíčové krádeže a atributy přístupu
2.1.4. Krádež, úpravy, ničení informací
2.1.5. Závěr uzlů PC, komunikačních kanálů
2.1.6. Neoprávněný přístup k informacím pro údržbu (opravy, zničení) PEVM uzlů
2.1.7. Neoprávněné zakázání nápravných prostředků
2.2. Hrozby zpronevěry, neoprávněné modifikace nebo blokování informací v důsledku neoprávněného přístupu (NSD) pomocí softwaru a hardwaru a softwaru (včetně softwaru a matematických vlivů)
2.2.1. Malware (viry)


2.3. Hrozby nejsou úmyslné působení uživatelů a bezpečnostních poruch fungování CETA a SPSPDN ve svém složení v důsledku selhání softwaru, jakož i hrozbami neintruddického (selhání zařízení v důsledku nespolehlivosti prvků, selhání energie) a spontánní (bleskové šoky, požáry, povodně a kd.)
2.3.1. Ztráta klíčů a atributů přístupu
2.3.2. Nekonečná modifikace (zničení) informací zaměstnanců
2.3.3. Neúmyslné zakázání ochrany
2.3.4. Montáž hardware-softwaru
2.3.5. Selhání napájecího systému
2.3.6. Katastrofa
*2.4. Hrozby úmyslných činností vnitřních porušovatelů*
2.4.1. Přístup k informacím, modifikaci, zničení osob, které nejsou přijaty do jeho zpracování
2.4.2. Zveřejnění informací, modifikace, zničení zaměstnanců přijatých svým zpracováním
*2.5. Johns neautorizovaného přístupu prostřednictvím komunikačních kanálů*
2.5.1. Vanity "analýza síťového provozu" s odposlechem informací přenášených z kódu a přijatých z externích sítí informací:
2.5.1.1. Zachycení mimo řízenou zónu
2.5.1.2. Zachycení v rámci řízené zóny vnějšími poruchami
2.5.1.3. Perechavat v rámci řízené zóny interních poruch.
2.5.2. Vanity skenování zaměřená na identifikaci typu nebo typů používaných operačních systémů, síťových adres pracovních stanic CD, topologie sítě, otevřených portů a služeb, otevřená připojení, atd.
2.5.3. Throes detekce hesla v síti

2.5.5. Throes substituce důvěryhodného objektu v síti
2.5.6. Vintage implementace falešného objektu je jak v DWell a externích sítích
2.5.7. Typ hrdla "Selhání udržení"
2.5.8. Harms spuštění vzdálené aplikace
2.5.9. Freaky implementace v síti škodlivých programů

5.4. Hodnocení nebezpečí ohrožení dot "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

Posouzení nebezpečí hrozeb pro přebírání se provádí na základě přehledu specialistů na ochranu informací a je určen slovním ukazatelem nebezpečí, který má tři významy:

nízké nebezpečí - pokud realizace hrozby může vést k drobným negativním důsledkům pro subjekty osobních údajů;
průměrné nebezpečí - v případě, že realizace hrozby může vést k negativním důsledkům pro subjekty osobních údajů;
vysoké nebezpečí - Pokud se provádění hrozby může vést k významným negativním důsledkům pro osobní údaje

Typ ochrany hrozby pdn	Nebezpečí hrozeb
1. Hrozby z úniku na technických kanálech
1.1. Hrozby o úniku akustických informací
1.2. Úniky ohrožení kódu
1.3. Hrozby úniku informací prostřednictvím peminových kanálů
2. Hrozby neoprávněného přístupu k informacím
*2.1. Hrozby zničení, krádeže hardwaru Delica mediálních informací fyzickým přístupem k prvkům*
2.1.1. Krádež PEVM.
2.1.2. Krádež mediálních informací
2.1.3. Klíčové krádeže a atributy přístupu
2.1.4. Krádež, úpravy, ničení informací
2.1.5. Závěr uzlů PC, komunikačních kanálů
2.1.6. Neoprávněný přístup k informacím pro údržbu (opravy, zničení) PEVM uzlů
2.1.7. Neoprávněné zakázání nápravných prostředků
2.2. Hrozby zpronevěry, neoprávněné modifikace nebo blokování informací v důsledku neoprávněného přístupu (NSD) pomocí softwaru a hardwaru a softwaru (včetně softwaru a matematických vlivů)
2.2.1. Malware (viry)

2.2.3. Instalace pro nespojení s výkonností úředních povinností
2.3. Hrozby neúmyslných činností uživatelů a bezpečnosti porušování fungování důstojnosti a SPSPDN ve svém složení v důsledku selhání softwaru, jakož i hrozby neintruddických (selhání zařízení v důsledku nespolehlivosti prvků, selhání výkonu) a spontánní (blesk, požární šoky, povodně a t .p.)
2.3.1. Ztráta klíčů a atributů přístupu
2.3.2. Nekonečná modifikace (zničení) informací zaměstnanců
2.3.3. Neúmyslné zakázání ochrany
2.3.4. Montáž hardware-softwaru
2.3.5. Selhání napájecího systému
2.3.6. Katastrofa
*2.4. Hrozby úmyslných činností vnitřních porušovatelů*


*2.5. Johns neautorizovaného přístupu prostřednictvím komunikačních kanálů*
2.5.1. Vanity "analýza síťového provozu" s odposlechem informací přenášených z kódu a přijatých z externích sítí informací:
2.5.1.1. Zachycení pro zresky z řízené zóny
2.5.1.2. Zachycení v rámci řízené zóny vnějšími poruchami
2.5.1.3. Perechavat v rámci řízené zóny interních poruch.
2.5.2. Vanity skenování zaměřená na identifikaci typu nebo typů používaných operačních systémů, síťových adres pracovních stanic CD, topologie sítě, otevřených portů a služeb, otevřená připojení, atd.
2.5.3. Throes detekce hesla v síti
2.5.4. Harmonie uložená falešnou síťovou trasu
2.5.5. Throes substituce důvěryhodného objektu v síti
2.5.6. Vintage implementace falešného objektu je jak v DWell a externích sítích
2.5.7. Typ hrdla "Selhání udržení"
2.5.8. Harms spuštění vzdálené aplikace
2.5.9. Freaky implementace v síti škodlivých programů

5.5. Stanovení relevance hrozeb v dot

V souladu s pravidly připisování hrozby bezpečnosti naléhavých, instituce jsou určeny pro "účetnictví a rámce" instituce, relevantních a irelevantních hrozeb.

Možnost realizace hrozby	Nebezpečí hrozby
Možnost realizace hrozby
	neaktivní	neaktivní	aktuální
	neaktivní	aktuální	aktuální
	aktuální	aktuální	aktuální
Velmi vysoko	aktuální	aktuální	aktuální

Typ ochrany hrozby pdn	Nebezpečí hrozeb	Možnost implementace hrozby	Účetní hrozba
1. Hrozby z úniku na technických kanálech
1.1. Hrozby o úniku akustických informací			neaktivní
1.2. Úniky ohrožení kódu			neaktivní
1.3. Hrozby úniku informací prostřednictvím peminových kanálů			neaktivní
2. Hrozby neoprávněného přístupu k informacím
*2.1. Hrozby zničení, krádeže hardwaru DVN, informační dopravce fyzickým přístupem k prvkům CAD*
2.1.1. Krádež PEVM.			aktuální
2.1.2. Krádež mediálních informací			aktuální
2.1.3. Klíčové krádeže a atributy přístupu			aktuální
2.1.4. Krádež, úpravy, ničení informací			aktuální
2.1.5. Závěr uzlů PC, komunikačních kanálů			neaktivní
2.1.6. Neoprávněný přístup k informacím pro údržbu (opravy, zničení) PEVM uzlů			aktuální
2.1.7. Neoprávněné zakázání nápravných prostředků			aktuální
2.2. Hrozby zpronevěry, neoprávněné modifikace nebo blokování informací v důsledku neoprávněného přístupu (NSD) pomocí softwaru a hardwaru a softwaru (včetně softwaru a matematických vlivů)
2.2.1. Malware (viry)			aktuální
			neaktivní
2.2.3. Instalace pro nespojení s výkonností úředních povinností			neaktivní
2.3. Hrozby neúmyslných činností uživatelů a bezpečnosti porušování fungování důstojnosti a SPSPDN ve svém složení v důsledku selhání softwaru, jakož i hrozby neintruddických (selhání zařízení v důsledku nespolehlivosti prvků, selhání výkonu) a spontánní (blesk, požární šoky, povodně a t .p.)
2.3.1. Ztráta klíčů a atributů přístupu			neaktivní
2.3.2. Nekonečná modifikace (zničení) informací zaměstnanců			aktuální
2.3.3. Neúmyslné zakázání ochrany			neaktivní
2.3.4. Montáž hardware-softwaru			aktuální
2.3.5. Selhání napájecího systému			neaktivní
2.3.6. Katastrofa			aktuální
*2.4. Hrozby úmyslných činností vnitřních porušovatelů*
2.4.1. Přístup k informacím, modifikaci, zničení osob, které nejsou přijaty do jeho zpracování			aktuální
2.4.2. Zveřejnění informací, modifikace, zničení zaměstnanců přijatých svým zpracováním			aktuální
*2.5. Johns neautorizovaného přístupu prostřednictvím komunikačních kanálů*
2.5.1. Vanity "analýza síťového provozu" s odposlechem informací přenášených z kódu a přijatých z externích sítí informací:			aktuální
2.5.1.1. Zachycení venku s řízenou zónou			aktuální
2.5.1.2. Zachycení v rámci řízené zóny vnějšími poruchami			aktuální
2.5.1.3. Perechavat v rámci řízené zóny interních poruch.			aktuální
2.5.2. Vanity skenování zaměřená na identifikaci typu nebo typů používaných operačních systémů, síťových adres pracovních stanic CD, topologie sítě, otevřených portů a služeb, otevřená připojení, atd.			aktuální
2.5.3. Throes detekce hesla v síti			aktuální
2.5.4. Harmonie uložená falešnou síťovou trasu			neaktivní
2.5.5. Throes substituce důvěryhodného objektu v síti			neaktivní
2.5.6. Vintage implementace falešného objektu je jak v DWell a externích sítích			neaktivní
2.5.7. Typ hrdla "Selhání udržení"			aktuální
2.5.8. Harms spuštění vzdálené aplikace			aktuální
2.5.9. Freaky implementace v síti škodlivých programů			aktuální

Relevantní ohrožení bezpečnosti pdnů v CDN "Účetnictví a rámce" institucí jsou tedy hrozbami neoprávněného přístupu k informacím:

Hrozby zničení, krádeže hardwaru důstojnosti, média informací fyzickým přístupem k prvkům CDN;

Hrozby neúmyslných činností uživatelů a bezpečnosti porušování fungování důstojnosti a SPSPDN ve svém složení v důsledku selhání softwaru, jakož i hrozby neintruddických (selhání zařízení v důsledku nespolehlivosti prvků, selhání výkonu) a spontánní (blesk, požární otřesy, povodně a t .p.);

Hrozby úmyslných činů vnitřních porušovatelů;

Hrozby neoprávněného přístupu prostřednictvím komunikačních kanálů.

6. Model porušení CD "Účetnictví a rámce" Bu "Yadrinsky Kzson" Mintuda Chuvashia

V souladu s vyhláškou vlády Ruské federace ze dne 01.11.2012 č. 1119 "o schválení požadavků na ochranu osobních údajů, pokud jsou zpracovány v informačních systémech osobních údajů" bezpečnost osobních údajů, když jsou zpracovány V informačním systému jsou poskytovány pomocí systému ochrany osobních údajů neutralizuje skutečné hrozby, definované v souladu s částí 5 článku 19 federálního zákona "o osobních údajích".

Systém ochrany osobních údajů zahrnuje organizační a (nebo) technická opatření definovaná s přihlédnutím ke stávajícím hrozbám bezpečnosti osobních údajů a informačních technologií používaných v informačních systémech.

Technický a software by měly být splněny požadavky informací poskytujících informace v souladu s právními předpisy Ruské federace.

Specifikace "Účetnictví a rámce" instituce, chráněné zdroje "Účetnictví a rámce" instituce, hrozby úniku PDN na technických kanálech, ohrožení NSD k informacím "Účetnictví a rámce" instituce a model bezpečnostních hrozeb PDNS jsou přezkoumány předchozími sekcemi tento dokument.

Na základě údajů získaných v těchto oddílech s přihlédnutím k "metodologickými doporučeními pro rozvoj regulačních právních aktů, které určují bezpečnost osobních údajů, které jsou relevantní při zpracování osobních údajů v informačních systémech osobních údajů provozovaných při provádění příslušné činnosti "ruské FSB Ruska schváleného vedením 803. 2015 č. 149/7 / 2 / 6-432, můžete objasnit možnosti porušovatelů (zdroje útoků) při poskytování pomocí kryptografie Bezpečnost PDNS při zpracování instituce "Účetnictví a rámce".

	Zobecněné zdroje útoků
	Schopnost samostatně vytvářet způsoby útoků, připravit a provádět útoky pouze mimo řízenou zónu
	Schopnost nezávisle vytvářet metody útoků, přípravy a realizace útoků v rámci řízené zóny, ale bez fyzického přístupu k hardwaru (dále jen AC), které jsou realizovány SPJ a jejich fungování
	Schopnost nezávisle vytvářet metody útoků, přípravy a realizace útoků v rámci řízené oblasti s fyzickým přístupem k ACS, na kterém jsou implementovány SPI a životní prostředí jejich fungování
	Schopnost zapojit specialisty, kteří mají zkušenosti s vývojem a analýzou SCJ (včetně specialistů v oblasti lineárních přenosových signálů a bočních elektromagnetických radiačních signálů a Reseting SPOO)
	Schopnost přilákat specialisty, kteří zažívají rozvoj a analýzu SCJ (včetně odborníků v oblasti použití pro provádění útoků nedokumentovaných schopností aplikovaného softwaru);
	Schopnost zapojit specialisty, kteří mají zkušenosti s rozvojem a analýzou SCJ (včetně specialistů v oblasti využití k implementaci útoků nedokumentovaných schopností hardwarových a softwarových komponent funkce funkčního prostředí SCJO).

Provádění hrozeb pro bezpečnost osobních údajů zpracovaných v informačních systémech osobních údajů je určena schopnostmi zdrojů útoků. Význam použití schopností zdrojů útoků tak určuje přítomnost vhodných relevantních hrozeb.

Refinované vlastnosti porušovatelů a směry útoků (příslušné skutečné hrozby)	Relevance použití (aplikace) pro budování a provádění útoků	Odůvodnění nepřítomnosti
Útok při hledání v rámci řízené zóny.	irelevantní	zástupci technické obsluhy a dalších podpůrných služeb při práci v prostorách, kde se nacházejí SCJI, a zaměstnanci, kteří nejsou uživateli SCJI, se nacházejí v těchto prostorách pouze v přítomnosti zaměstnanců v provozu; zaměstnanci, kteří jsou uživateli, jsou neslušní, ale ne uživateli SCJI, jsou informováni o pravidlech práce v PM a odpovědnost za nedodržení pravidel bezpečnosti informací; uživatelé SKZZI jsou informováni o pravidlech práce v kodexu, pravidla pro práci s SCJ a odpovědností za nedodržení pravidel pro zajištění bezpečnosti informací; pokoje, ve kterých se Skzi umístí, jsou vybaveny vstupními dveřmi se zámky, což zajišťuje uzavření dveří prostor na zámku a jejich otvor pouze pro autorizovaný průchod; schváleno pravidla pro přístup do areálu, kde SPJS jsou umístěny v pracovní a nefungující době, jakož i v nouzových situacích; schválil seznam osob s právem na přístup k prostorům, kde se nachází SKZI; registrace a účetnictví uživatelských akcí s PDN se provádějí; sledování integrity ochrany;
provádění útoků ve fázi provozu SKZI pro následující objekty: Dokumentace pro lyže a komponenty SF; Pokoje, ve kterých je sada softwarových a technických prvků systémů zpracování dat schopných fungovat nezávisle nebo jako součást jiných systémů (dále jen SVT), na kterém jsou implementovány SCJ a SF.	irelevantní	práce se konají při náboru; dokumentace SPJ je uchovávána od odpovědného za SPJ v bezpečném kovu; místnost, ve které se nachází dokumentace na SCJ, SKZI a komponentách SF SF, jsou vybaveny vstupními dveřmi se zámky, což zajišťuje neustálé uzavření dveří místností na zámku a otevírá je pouze pro autorizovanou pasáž; schváleno seznam osob s právem na přístup k prostorům.
příjem v rámci poskytnutého orgánu, jakož i v důsledku připomínek následujících informací: \\ t Informace o fyzikálních opatřeních na ochranu zařízení, ve kterých jsou vysílány zdroje informačního systému; Informace o opatřeních k zajištění kontrolované oblasti objektů, ve kterých jsou zveřejněny zdroje informačního systému; Informace o opatřeních k vymezení přístupu do prostor, ve kterých jsou SVT umístěny, na kterém jsou implementovány SPI a SF.	irelevantní	práce se konají při náboru; informace o fyzikálních opatřeních pro ochranu předmětů, ve kterých jsou obyvatelé umístěny, jsou k dispozici omezený kruh zaměstnanců; zaměstnanci jsou informováni o odpovědnosti za nedodržení pravidel bezpečnosti informací.
využití nejmodernějších rozsahů omezených opatření prováděnými v informačním systému, která využívá SPI a zaměřené na prevenci a prevenci neoprávněných akcí.	irelevantní	práce na výběr zaměstnanců; všechny pokoje, ve kterých se nachází SVT, na kterých se nachází SKJI a SF, jsou vybaveny vstupy se zámky, dveře pokojů na hradě a jejich otevření pouze pro schválenou pasáž jsou poskytovány; zaměstnanci jsou informováni o odpovědnosti za nedodržení pravidel bezpečnosti informací; existuje rozdíl a kontrola přístupu uživatelů k chráněným zdrojům; v poklesu použitých: certifikované prostředky ochrany informací před neoprávněným přístupem; certifikované antivirové ochranné nářadí.
fyzický přístup k SVT, na kterém jsou implementovány SCJ a SF.	irelevantní	práce se konají při náboru; pokoje, ve kterých se SVT umístěnou, na kterých se nachází SKJI a SF, jsou vybaveny vstupními dveřmi se zámky, jsou poskytovány dveře lůžka hradu a jejich otevření pouze pro schválenou pasáž.
schopnost ovlivnit hardwarové komponenty SCJ a SF, omezené opatřeními prováděnými v informačním systému, ve kterém se používají SPJS, a zaměřené na prevenci a prevenci neoprávněných akcí.	irelevantní	práce se konají při náboru; zástupci technické obsluhy a dalších podpůrných služeb při práci v prostorách, kde jsou umístěny komponenty SPJ a SF SF, a zaměstnanci, kteří nejsou členy SCJU, se nacházejí v těchto prostorách pouze v přítomnosti zaměstnanců.
vytváření metod, přípravy a držení útoků se zapojením odborníků v oblasti analýzy signálů doprovázející fungování SCJ a SF a v oblasti využití k implementaci útoků nedokumentovaných (netrokovaných) schopností aplikovaného softwaru.	irelevantní	práce se konají při náboru; pokoje, ve kterých Skzi a SF jsou umístěny, jsou vybaveny vstupními dveřmi se zámky, uzavření dveří prostor na zámku a jejich otevření pouze pro schválenou pasáž; existuje rozdíl a kontrola přístupu uživatelů k chráněným zdrojům; registrace a účetnictví uživatelských akcí se provádí; na AWP a serverech, na kterých je SCJI nainstalován: certifikované prostředky ochrany informací před neoprávněným přístupem; používají se certifikované antivirové ochranné prostředky.
provádění laboratorních studií SCJI používaného mimo kontrolovanou zónu, omezené opatřeními implementovanými v informačním systému, ve kterém SCJI se používá, a zaměřené na prevenci a prevenci neoprávněných akcí.	irelevantní	neexistuje žádné zpracování informací, které tvoří státní tajemství, jakož i další informace, které mohou být zajímavé realizovat možnost;
provádění práce na tvorbě metod a prostředků útoků ve výzkumných centrech specializovaných na vývoj a analýzu SCJ a SF, včetně použití zdrojových textů aplikovaného softwaru, které přímo používá volání volání volání.	irelevantní	neexistuje žádné zpracování informací, které tvoří státní tajemství, jakož i další informace, které mohou být zajímavé realizovat možnost; vysoké náklady a složitost přípravy realizace možnosti.
vytváření metod, přípravy a držení útoků se zapojením odborníků v oblasti využití pro implementaci útoků nedokázelných (deklarovaných) schopností systémového softwaru.	irelevantní	neexistuje žádné zpracování informací, které tvoří státní tajemství, jakož i další informace, které mohou být zajímavé realizovat možnost; vysoké náklady a složitost přípravy realizace možnosti; práce se konají při náboru; pokoje, ve kterých Skzi a SF jsou umístěny, jsou vybaveny vstupními dveřmi se zámky, uzavření dveří prostor na zámku a jejich otevření pouze pro schválenou pasáž; zástupci technických služeb a dalších podpůrných služeb při práci v prostorách, kde jsou umístěny komponenty SPJ a SF SF, a zaměstnanci, kteří nejsou uživateli SCJI, se nacházejí v těchto prostorách pouze v přítomnosti zaměstnanců v provozu; existuje rozdíl a kontrola přístupu uživatelů k chráněným zdrojům; registrace a účetnictví uživatelských akcí se provádí; na AWP a serverech, na kterých je SCJI nainstalován: certifikované prostředky ochrany informací před neoprávněným přístupem; používají se certifikované antivirové ochranné prostředky.
schopnost mít informace obsažené v návrhu dokumentace pro hardware a softwarové komponenty SF.	irelevantní
schopnost ovlivnit všechny složky SCJ a SF.	irelevantní	neexistuje žádné zpracování informací, které tvoří státní tajemství, jakož i další informace, které mohou být zajímavé realizovat možnost.

6.1. Popis porušovatelů (zdroje útoků)

Pod pachatelem (zdroj útoků) je tvář (nebo proces iniciovaná IT) označována, vodivý (vodivý) útok.

V případě údajů z (C) organizace třetích stran (yu) pouze používání papírovatelů, zaměstnanci této organizace nemohou ovlivnit technický a softwarový index "Účetnictví a rámce" instituce, a proto v tomto dokumentu nelze považovat za potenciální vetřelci.

Všichni ostatní jednotlivci, kteří mají přístup k technickému a softwarovému indexu "Účetnictví a rámce" institucí, mohou být přiřazeni následujícím kategoriím:

Všechny potenciální vetřelci jsou rozděleni do dvou typů:

Externí vetřelci - vetřelci provádějící útoky v důsledku mezí řízené zóny CDN;

Vnitřní porušovače - vetřelci provádějící útoky, zatímco v rámci řízené zóny CDN.

Předpokládá se, že:

Externí vetřelci mohou být oba plochy kategorie I a Face Category II;

Vnitřní porušiče mohou být pouze obličeje kategorie II.

Možnosti potenciálních porušovatelů CD "Účetnictví a rámce" orgánů v podstatě závisí na instituci bezpečnostní politiky a přijatou režimem, organizačními a technickými a technickými a technickými opatřeními k zajištění bezpečnosti.

Všichni jednotlivci, kteří mají přístup k technickému a softwarovému indexu "účetnictví a personálu" institucí v souladu se základním modelem bezpečnostních hrozeb osobních údajů při zpracování v informačních systémech osobních údajů "(extrakt) (schváleno) (schváleno. Viz zdroje hrozeb a lze považovat za potenciální vetřelce. Podle analýzy provedených na potenciálních porušovatelích tohoto CDN "Účetnictví a personál" institucí patří čtyři z devíti kategorií:

Porušitelé kategorie I0 (externí vetřelci) jsou osoby, které nemají přímý přístup k technickému a softwarovému indexu "Účetnictví a personál" instituce v rámci ČR;

Porušitelé kategorie a 1 (interní porušovatele) - osoby s povoleným přístupem k "účetnictví a rámcům" institucí, ale nemají přístup k pdns (účastníci provádějící práci v prostorách, ve kterých technické prostředky tohoto CDN, zaměstnanců, kteří mají zaměstnanci přístup do prostor, ve kterých jsou umístěny technické prostředky CAD "účetnictví a rámců" instituce;

Porušitelé kategorie I7 (vnitřní nebo vnější porušovatelé) - programátoři-vývojáři (dodavatelé) PPP a osob, které poskytují svůj doprovod CD "účetnictví a rámce" institucí a mají nebo nemají jednorázový přístup k KZ;

Porušitelé kategorie a8 (vnitřní nebo vnější porušovatele kategorie 8) -emoregrátoři a obličeje, které poskytují dodávku, údržbu a opravu technických prostředků na CD "Účetnictví a rámce" institucí a mají nebo nemít jednorázový přístup k KZ .

S ohledem na specifika fungování "účetnictví a rámců" institucí a povahy zpracovaných pdnů v něm se předpokládá, že privilegované uživatele tohoto CDN (správci), kteří provádějí technické řízení a údržbu Hardware a softwarové kanály, včetně ochranných nástrojů, včetně jejich nastavení konfigurace a distribuce klíčových a hesla dokumentace, jakož i omezený kruh registrovaných uživatelů, se týkají zejména důvěryhodných osob a jsou vyloučeny z počtu potenciálních vetřelců.

6.2. Definice typu porušovače CADBu "Yadrinsky Kzson" Mintuda Chuvashia

Vzhledem k výše uvedenému lze zvážit potenciální porušovatele v CDN "Účetnictví a rámce" institucí:

externí porušák, který nemá přístup k technickému a softwaru důstojnosti v KZ, a nezávisle vytváří vytváření metod a prostředků implementačních útoků, a také nezávisle vykonává tyto útoky;

vnitřní porušák, který není uživatelem CDN, ale má právo na trvalý nebo jednorázový přístup k KZ k prostředku výpočetní techniky, na kterém jsou implementovány Cryptocution a SF a nezávisle vytváří tvorbu útoků , příprava a jejich realizace.

Vzhledem k hierarchickému postupu pro stanovení možností porušovatele má výše uvedený interní vetřelec nejvyšší možnosti.

6.3. Úroveň kryptografické ochrany PDNS v obydlí

Vzhledem k tomu, že vnitřní porušení "účetnictví a rámců" instituce má nejvyšší možnosti instituce, která není drzý uživatel, má však právo na trvalý nebo jednorázový přístup k KZ do prostředků výpočetní techniky , na kterém kryptografické a SF jsou prodávány nezávisle provádějí vytváření metod útoků, přípravy a jejich provádění, pak kryptografický lék použitý pro kryptografické a osoby by měly poskytnout kryptografickou ochranu v úrovni KS2. Je to tato úroveň kryptografické ochrany, kterou instituce certifikovaného FSB Ruska kryptografická ochrana informací "VIPNET CLIENT CS2" certifikovaných v Crpht "

Závěr

Na základě výše uvedeného lze vypracovat následující závěry: \\ t

CDN "Účetnictví a rámce" instituce je místním speciálním informačním systémem s jedním uživatelem s vymezením přístupových práv uživatelů, která mají připojení k sítím veřejných komunikačních sítí.
Hrozby úniku na technických kanálech, včetně ohrožení úniku akustického (řeči) informací, hrozby úniku druhových informací a hrozbou úniku na pAMIN kanálu v souladu s úrovní počáteční ochrany CD "účetnictví a rámečky" Instituce, podmínky provozu a zpracování a skladovacích technologií a skladovacích technologií jsou irelevantní.
Hrozby týkající se:

Neoprávněný přístup k informacím;

Neúmyslné působení uživatelů a bezpečnosti porušení fungování důstojnosti a SWPDN v jeho složení v důsledku selhání softwaru, jakož i ohrožení neintruddických (selhání zařízení v důsledku nespolehlivosti prvků, selhání energie) a spontánního (blesku) Šoky, požáry, povodně atd. P.) Znak;

Úmyslné působení vnitřních porušovatelů;

Neoprávněný přístup prostřednictvím komunikačních kanálů

neutralizována zřízením antivirové ochrany prostřednictvím ochrany před neoprávněným přístupem, včetně prostředků brány firewall, používání kryptografických ochranných nástrojů, jakož i organizačních opatření, zajišťující bezpečné fungování "účetnictví a rámů" instituce personál. Proto jsou výše uvedené hrozby irelevantní. (Pokud jsou tyto ochranné prostředky instalovány.

Současné hrozby bezpečnosti PDS, stanovené při studiu "účetnictví a rámců" institucí, jsou podmínky a faktory, které vytvářejí skutečné nebezpečí neoprávněného přístupu k PD s cílem porušovat jejich důvěrnost, integritu a dostupnost.

Tyto typy hrozeb mohou být neutralizovány pomocí systému ochrany informací Dallas Zámek.

Potenciální bezpečnostní porušovatelé osobních údajů "Účetnictví a rámce" institucí se týkají porušovatelů vnějšího (I0) a interních 1, 7 a 8 kategorií (I1, I7, I8) podle klasifikace Ruska FSTC Ruska. V souladu s největší příležitostí má vnitřní porušení "účetnictví a rámců" instituce nejvíce možností instituce, což není dedikátor, ale má právo na trvalý nebo jednorázový přístup k KZ Prostředky výpočetní techniky, na kterých se kryptografické a SF prodávají nezávisle. Metody útoků, příprava a jejich chování. Aby byla zajištěna kryptografická ochrana nižší než COP2, doporučuje se použít "VIPNET CO2" VIPNET koordinátor "VIPNET CS2", s výhradou instalace systému ochrany informací Dallas Zámek. (Pokud není použit)

V souladu s požadavky na tento index "Účetnictví a rámce" instituce se doporučuje stanovit úroveň bezpečnosti UZ 3. v souladu s řádem Ruska Ruska z 18. března 2013 č. 21 " O schválení složení a obsahu organizačních a technických opatření k zajištění bezpečnosti osobních údajů při jejich zpracování v informačních systémech osobních údajů, "je třeba provést následující opatření k zajištění bezpečnosti PDNS na CD" Účetnictví a rámce "instituce:

Pevný denotace	osobní data	Požadovaný seznam osobních bezpečnostních opatření pro úroveň bezpečnosti osobních údajů UZ 3

Identifikace a ověřování přístupových předmětů a přístupových objektů (IAP)
	Identifikace a ověřování uživatelů, kteří jsou zaměstnanci operátora
	Správa identifikátorů, včetně stvoření, zadání, zničení identifikátorů
	Správa ověřovacích nástrojů, včetně skladování, vydávání, inicializace, blokování ověřovací nástroje a podniknout kroky v případě ztráty a / nebo kompromisní ověřovací nástroje
	Ochrana zpětné vazby při zadávání ověřování informace
	Identifikace a ověření uživatele, ne kteří jsou zaměstnanci operátora (externí uživatelé)
Ovládání přístupu k předložením přístupu k objektům přístupu (UPS)
	Management (založení, aktivace, blokování a destruction) Uživatelské účty, včetně včetně externích uživatelů
	Provádění nezbytných metod (diskreční, povinná, role nebo jiná metoda), typy (čtení, \\ t nahrávání, provádění nebo jiný typ) a pravidla přístup k likvidaci
	Management (filtrování, směrování, řízení sloučeniny, jednosměrné přenosové a jiné metody řízení) Internetové toky mezi zařízeními, segmenty informačního systému, jakož i mezi informačními systémy
	Oddělení autority (role) uživatelů, správci a osoby fungující informační systém
	Jmenování minimálně nezbytných práv a privilegia uživatelům, správcům a osobám poskytování fungování informačního systému
	Omezení neúspěšných pokusů o vstup informační systém (přístup k informačnímu systému)
	Blokování relace přístupu v informacích systém po nastavené době nečinnosti (nečinnost) uživatele nebo na jeho žádost
	Povolení (zákaz) uživatelských akcí, identifikovat a ověřovat
	Implementace bezpečného vzdáleného přístupu předmětů přístupu k přístupovým objektům přes externí informační a telekomunikační sítě
	informační systém bezdrátové technologie
	Regulace a řízení použití v informační systém mobilních technických prostředků
	Správa informací s informacemi systémy třetích stran (externí informační systémy)
III. Ochrana nosičů osobních údajů (ZNI)
	Zničení (mazání) nebo vymazání osobní údaje o strojních médiích s jejich přenos mezi uživateli, ve třetí části organizace pro opravu nebo likvidaci, stejně jako ovládání zničení (vymazání) nebo vymazání
Registrace bezpečnostních událostí (RSB)
	Určení bezpečnostních událostí registrace a načasování jejich skladování
	Určení složení a obsahu informací bezpečnostní události podléhající registraci
	Sběr, nahrávání a skladování informací o událostech zabezpečení pro nastavenou dobu Úložný prostor
	Ochrana informací o bezpečnostních událostech
V. Antivirová ochrana (AVS)
	Provádění antivirové ochrany
	Aktualizace databáze známek škodlivého počítačové programy (viry)
Sledování (analýza) bezpečnosti osobních údajů (ANZ)
	Identifikace, analýza zranitelností informací systémy a provozní eliminace nově identifikovaných zranitelnosti
	Kontrola aktualizací softwaru poskytování, včetně aktualizace softwaru poskytování nástrojů pro bezpečnost informací
	Kontrola výkonu, nastavení a správnost programového programu
	Kontrola složení technických prostředků, softwaru poskytování a způsoby bezpečnosti informací
Vii. Ochrana virtualizačního prostředí (ZSV)
	Identifikace a ověřování přístupových subjektů a přístup k objektům ve virtuální infrastruktuře, včetně počet nástrojů správců virtualizace
	Ovládání přístupu přístupu přístupu k objektům přístup ve virtuální infrastruktuře, včetně uvnitř virtuálních počítačů
	Registrace bezpečnostních událostí ve virtuálním infrastruktura
	Implementace a kontrola antivirové ochrany v virtuální infrastruktura
	Rozbití virtuální infrastruktury pro segmenty (segmentace virtuální infrastruktury) zpracování osobních údajů uživatel a (nebo) skupina uživatelů
Viii. Ochrana technických prostředků (CTS)
	Ovládání a správa fyzického přístupu technické prostředky, nástroje pro ochranu informací, prostředky pro zajištění fungování, jakož i v prostorách a strukturách, ve kterých jsou stanoveny, s výjimkou neoprávněného fyzického přístupu k nástrojům pro zpracování informací, nástrojů pro ochranu informací a prostředky pro zajištění fungování informačního systému Prostory a struktury, ve kterých instalovali
	Umístění výstupních zařízení (zobrazení) informací s výjimkou neoprávněného prohlížení
Ix. Ochrana informačního systému, jeho fondy, systémy komunikace a přenosu dat (3is)
	Zajištění ochrany osobních údajů zveřejnění, úpravy a uložení (vstup FALSE informace) při přenosu (příprava na přenos) na komunikačních kanálech, které mají cestu venku řízená zóna, včetně bezdrátového připojení komunikační kanály
	Ochrana bezdrátových připojení používaných v informační systém
X. Správa konfigurace informačního systému a osobní systémy ochrany osobních údajů (UKF)
	Definice osob, které jsou povoleny akce změny konfigurace informačního systému a systému ochrany osobních údajů
	Správa konfigurace informačního systému a ochrany osobních údajů
	Analýza plánovaného dopadu změny v konfiguraci informačního systému a systému ochrany osobních údajů k zajištění ochrany osobních údajů a koordinují změny v konfiguraci informačního systému s úředníkem (zaměstnanec) odpovědný za zajištění bezpečnosti osobních údajů
	Dokumentační informace (data) o změnách konfigurace informačního systému a systému ochrany osobních údajů

Anotace: Přednáška provádí pojmy a klasifikace zranitelností a hrozeb, zvážení nejčastějších útoků. Složení a údržba organizační a správní dokumentace pro ochranu PD.

4.1. Hrozby bezpečnosti informací

Při budování systému ochrana osobních údajů (Další SPD) Klíčovým krokem je vybudování soukromého modelu hrozby pro konkrétní organizaci. Na základě tohoto modelu jsou dále vybrány odpovídající a dostatečné ochranné zařízení v souladu se zásadami přezkoumanými v "Automatizované a neautomatické zpracování osobních údajů".

Pod návrh hrozeb Když jsou zpracovány, AVD je chápána jako kombinace podmínek a faktorů, které vytvářejí nebezpečí neoprávněného, \u200b\u200bvčetně náhodný přístup Pro osobní údaje výsledek, z nichž zničení, změna, blokování, kopírování, šíření, osobní údaje, jakož i další neoprávněné akce, pokud jsou zpracovány v informačním systému Osobní údaje.

Vznik bezpečnostních hrozeb může být způsoben jak úmyslným působením vetřelců, tak s neúmyslnými působením personálu nebo uživatelů zemřeli.

Hrozby bezpečnosti Lze implementovat dvěma způsoby:

prostřednictvím technických únikových kanálů;
neautorizovaným přístupem.

Zobecněný režim pro implementaci kanálu PD hrozby je znázorněn na obrázku 4.1

Obr. 4.1.

Informace o úniku technického kanálu - Sada informačního nosiče (nástroje pro zpracování), fyzikální prostředí distribuce informativního signálu a znamená, že chráněné informace jsou těženy. Distribuční médium je homogenní, například, pouze vzduch, když je elektromagnetické záření propagován, nebo nehomogenní, když se signál pohybuje z jednoho média do druhého. PD nosiče mohou být lidé pracující s povinností, technickými prostředky, pomocnými prostředky atd. Hlavní věc je, že informace jsou zobrazeny ve formě polí, signálů, obrazů, množstevních vlastností fyzikálních veličin.

Zpravidla se tyto hrozby rozlišují implementací technických únikových kanálů:

hrozby informací o řeči. Ve skutečnosti, útočník zachytí informace pomocí speciálního vybavení ve formě akustických, vibroakustických vln, stejně jako elektromagnetické záření modulované akustickým signálem. Jako prostředek lze použít různé druhy elektronických zařízení, připojených k komunikačním kanálům nebo technickým testováním Pd.
hrozby úniku druhových informací. V tomto případě hovoříme o přímém pohledu na PD v přítomnosti přímé viditelnosti mezi pozorovacími prostředky a nosičem Pd. Jako prostředek pozorování se používají optické prostředky a videoklipy;
hrozby úniku informací na kanálech bočního elektromagnetického záření a sklápění (pemin). Mluvíme o zachycení spodních společností (nesouvisející s přímou funkční hodnotou EDM prvků) informativních elektromagnetických polí a elektrických signálů vyplývajících ze zpracování Pd technickými prostředky zemrek. Pro registraci peminů se zařízení používá jako součást rádiových přijímačů a terminačních zařízení pro obnovu informací. Kromě toho je možné zachycení pamminu možné pomocí elektronických zařízení pro zachycení informací připojených k komunikačním kanálům nebo technickým prostředkům zpracování PD. Instalace elektromagnetických emisí vznikají, když prvky prvky technických prostředků informativních signálů v přítomnosti kapacitních, induktivních nebo galvanických spojů spojovacích linií technických prostředků zemrů a různých pomocných zařízení.

Zdroje hrozebimplementován. \\ t neoprávněný přístup k databázím Použití standardního nebo speciálně navrženého softwaru, jsou předměty, jejichž akce jsou porušovány regulovány v AHD pravidla vymezení přístupu Informace. Tyto subjekty mohou být:

rušitel;
nosič malwaru;
karta hardwaru.

Pod rušitel Dále jen jednotlivec (osoby), náhodně nebo záměrně provádějící akce, důsledek snížení hodnoty bezpečnosti PD, pokud se řídí technickými prostředky v informačních systémech. Z hlediska přítomnosti právních přístupových práv v prostorách, ve kterých hardwarePoskytování přístupu k domácích zdroji, porušovatele jsou rozděleny do dvou typů:

porušitelé, kteří nemají přístup k důstojnosti, které provádějí hrozby z externích veřejných komunikačních sítí a (nebo) sítí mezinárodní výměny informací, jsou externími poruchami;
porušitelé, kteří mají přístup k dynamice, včetně uživatelů prachu, realizují hrozby přímo do ATD, - interních poruch.

Pro volání poskytující informační služby pro vzdálené uživatele mohou být externí porušovatelé osoby, které mají schopnost provádět neoprávněný přístup k informacím pomocí speciálních softwarových efektů, algoritmických nebo softwarových záložek prostřednictvím automatizovaných pracovních míst, terminálová zařízení Důstojnost připojená k veřejným sítím.

Shrnutí získaných znalostí podle obrázku 4.2.

Obr. 4.2.

Hrozby lze klasifikovat podle různých funkcí, například podle typu porušení vlastnosti informací ( důvěrnost, Integrity, Dostupnost) podle typu povinnosti, ke kterému je útok zaměřen na typ použitý pro útok zranitelnosti.

4.2. Celkové charakteristiky zranitelnosti informací o osobním údaji

Vznik potenciálních bezpečnostních hrozeb je spojeno s přítomností slabých bodů v dusičích. Zranitelnost informací o osobním údajům - znevýhodnění nebo slabé místo v systému nebo aplikačním softwaru (software a hardware) poskytování kanálů, které lze použít k implementaci hrozby bezpečnosti Osobní data.

Příčiny výskytu zranitelností v obecném případě jsou:

chyby při vývoji softwaru;
úmyslné změny v softwaru, aby bylo možné učinit zranitelnosti;
nesprávné nastavení softwaru;
neoprávněné provádění škodlivých programů;
neúmyslné akce uživatele;
poruchy v softwaru a hardwaru.

Zranitelnosti, jako jsou hrozby, mohou být klasifikovány na různých funkcích:

podle typu softwaru nebo aplikován.
po fázi životního cyklu softwaru, na kterém dochází ke zranitelnosti - design, provoz atd.
vzhledem k výskytu zranitelnosti, například nedostatky mechanismů ověřování síťových protokolů.
povahou následků provádění útoků - změna práv na přístup, výběr hesla, uzavření systému jako celku atd.

Nejčastěji používanými chybami zabezpečení se týkají protokolů interakce sítě a operační systémy, včetně aplikačního softwaru.

Lze předložit zranitelnost operačního systému a aplikovaného softwaru:

funkce, postupy, jejichž měnící se parametry, jejichž určitým způsobem jim umožňuje používat je pro neoprávněný přístup bez detekce těchto změn operačního systému;
fragmenty programového kódu ("otvory", "poklopy"), zavedené vývojářem, což umožňuje obejít identifikační postupy, ověřování, kontroly integrity atd.;
nedostatek potřebných bezpečnostních nástrojů (ověřování, kontrola integrity, ověřování formátů zpráv, blokování neoprávněných modifikovaných funkcí atd.);
chyby v programech (v prohlášení o proměnných, funkcích a postupech, v programových kódech), které za určitých podmínek (například při provádění logických přechodů) vedou k poruchám, včetně poruch fungování prostředků a systémů ochrany informací.

Chyby zabezpečení interakce sítě jsou spojeny s vlastnostmi jejich implementace softwaru a jsou způsobeny omezením velikosti použité vyrovnávací paměti, nevýhody postupu ověřování, nedostatek kontrol pro správnost servisních informací atd. Příkladem protokolu Aplikace FTP, široce používaný na Internetu, je ověřen na základě otevřeného textu. Tím umožňuje zachytit data účtu.

Před zahájením výstavby systému ochrany informací je nutné držet analýza zranitelností CADE a pokuste se snížit jejich množství, to znamená, že používat způsob preventivity. Můžete zavřít extra porty, dát "patchwork" software (například Service Pack pro Windows), zavádějte silnější metody ověřování atd. Tato opatření mohou významně snížit materiály, dočasné a pracovní náklady budování systému. ochrana osobních údajů dále.

4.3. Nejčastěji si uvědomil hrozby

V souvislosti s rozšířeným vývojem internetu jsou nejčastější útoky vyráběny za použití chyb zabezpečení protokolů síťových interakcí. Zvažte 7 nejčastějších útoků.

Analýza síťového provozu
Tento typ útoku je zaměřen především na přijetí hesla a ID uživatele "poslechem sítě". To je implementováno pomocí Sniffer - speciální analyzátorový program, který zachytí všechny pakety běží přes síť. A pokud protokol například FTP nebo Telnet vysílá informace o ověřování v otevřeném formuláři, útočník snadno přistupuje k uživatelskému účtu.

Obr. 4.3.
Skenování sítě
Podstatou tohoto útoku je shromažďovat informace o topologii sítě, o otevřených přístavech používaných protokoly atd. Provedení této hrozby je zpravidla předcházeno dalšími opatřeními útočníka s použitím údajů získaných v důsledku skenování dat.
Hrozba pro detekci hesla
Účelem útoku je překonat ochranu heslem a získání NSD k informacím někoho jiného. Metody pro krádežné heslo Velmi mnoho: Jednoduché hledání všech možných hodnot hesla, busting pomocí speciálních programů (Slovník Attack), Zachycení hesla pomocí programu Analyzer sítí sítě.
Substituce důvěryhodného síťového objektu a přenos prostřednictvím komunikačních kanálů zpráv v jeho zastoupení s přidělením svých přístupových práv. Důvěryhodný objekt je síťový prvek legálně připojený k serveru.
Taková hrozba je účinně implementována v systémech, kde nestabilní algoritmy pro identifikaci a ověřování hostitelů, uživatelů atd.

Dva odrůdy procesu implementace specifikované hrozby mohou být izolovány: se zřízením a bez založení virtuálního spojení.

Provozní proces se zřízením virtuální sloučeniny je přidělit práva důvěryhodný subjekt Interakce, která umožňuje porušiteli provádět síťovou relaci jménem sítě důvěryhodný subjekt. Realizace hrozby tohoto typu vyžaduje překonání systému identifikace a ověřování (například útok hostitele UNIX-Host RSH).

Proces implementace hrozby bez založení virtuálního připojení může nastat v sítích, které identifikují přenosové zprávy pouze prostřednictvím síťové adresy odesílatele. Účetní jednotka je přenos servisních zpráv jménem síťových řídicích zařízení (například za směrovače) na změnu dat trasy.

V důsledku provádění hrozby obdrží porušovatel přístupová práva stanovená svým uživatelem pro důvěryhodný účastník na technické prostředky důstojnosti hrozeb.
Uložení chybné sítě
Tento útok byl možný kvůli nedostatkům směrovacích protokolů (RIP, OSPF, LSP) a Správa sítě (ICMP, SNMP), jako je například slabá routerová autentizace. Podstatou útoku je, že útočník používá chybu zabezpečení protokolů neoprávněné změny v tabulkách hodnocení.
Implementace objektu falešného sítí
Když se původně síťové objekty nezná informace o sobě, poté budovat cílené tabulky a následnou interakci, použije se mechanismus požadavku (jako pravidlo, vysílání) je odpověď s vyhledáváním informací. V tomto případě, kdyby porušák zachytil takový požadavek, může dát falešnou odpověď, změnit směrovací tabulku celé sítě a vydat se pro právní subjekt sítě. V budoucnu, všechny balíčky zaměřené na právnickou osobu projdou útočníkem.
Selhání služby
Tento typ útoku je v současné době jedním z nejčastějších v současnosti. Účelem takového útoku je odmítnout údržbu, to znamená porušení dostupnosti informací pro právní subjekty výměny informací.

Několik druhů těchto hrozeb může být izolován:

skrytý odmítnutí údržby způsobené přitahováním součástí zdrojů ATP pro zpracování paketů přenášených útočníkem se snížením šířky pásma komunikačních kanálů, síťových zařízení, porušování požadavků na vyžádání žádostí. Příklady implementačních hrozeb tohoto druhu mohou být: řízené požadavky ECHO ICMP (Ping Poplaving), bouře pro nastavení připojení protokolu TCP (SYN-ALLIVE), Dotaz na Storm na FTP server;
jasný odmítnutí zachování, způsobené vyčerpáním zdrojů obtoků při zpracování balíčků přenášených útočníkem (celá šířka pásma komunikačních kanálů, přetečení queues Query. Pro službu), ve kterých nelze právní požadavky předávat prostřednictvím sítě v důsledku nedostupnosti přenosového média nebo obdržet odmítnutí zachování v důsledku přetečení queues Query., paměť na disku, atd. Příklady hrozeb pro tento typ mohou sloužit jako bouřka požadavků na vysílání ICMP-ECHO (SMURF), řízené bouřkou (syn-záplavou), bouřkou zpráv poštovním serveru (SPAM);
explicitní odmítnutí zachovat porušení logické propojenosti mezi technickými prostředky CEDNET při přenosu porušování řídicích zpráv jménem síťových zařízení, což vede ke změně dat adresy na trasu (například Hostování ICMP přesměrování, DNS- povodně) nebo identifikace a informace o ověřování;
explicitní odmítnutí údržby způsobeného přenosem útočníkem paketů s nestandardními atributy (hrozby typu "Land", "slza", "Bonk", "Nuke", "Udp- bomba") nebo má délku Překročení maximální přípustné velikosti (hrozba typu "ping smrti"), což může vést k sbírce síťových zařízení zapojených do zpracování dotazů, s výhradou chyb v programech implementačních protokolů sítí sítě.

Výsledkem realizace této hrozby může být porušením příslušné služby pro poskytování vzdáleného přístupu k PD na ATD, přenášet z jedné adresy takové řady žádostí o technické prostředky ve složení AHD, které maximálně může "ubytovat" provoz (řízený "dotaz bouře"), že zahrnuje přetečení fronty dotazu a selhání jednoho ze síťových služeb nebo úplné zastavení počítače v důsledku neschopnosti systému, aby se zapojil do jiných, s výjimkou \\ t pro zpracování dotazů.

Dívali jsme se na nejčastěji implementované hrozby s interakcí sítě. V praxi jsou hrozby výrazně více. Soukromý model bezpečnostních hrozeb je založen na dvou dokumentů FSTC - "Základní hrozbou pro bezpečnostní hrozby osobních údajů při zpracování v informačních systémech osobních údajů" a " Metody stanovení současných hrozeb bezpečnosti osobních údajů při jejich zpracování ve službě ". Pokud je organizace velká, a v něm je několik systémů XPE, nejzájemnějším rozhodnutím bude přitahovat kvalifikované specialisty na firem třetích stran, aby vybudoval soukromý model hrozeb a navrhování výstavby.

4.4. Organizační a správní dokumentace pro ochranu Pd

Kromě technických a procedurálních řešení systému ochrana osobních údajůProvozovatel musí zajistit vývoj organizačních a správních dokladů, které budou regulovat všechny vznikající otázky, aby zajistily bezpečnost PD při zpracování systému ATP a provozu ochrana osobních údajů (Další SPD). Existuje mnoho takových dokumentů, hlavní jsou:

1. Poskytování bezpečnosti Pd.. Jedná se o interní (místní) organizace dokumentu. Neexistují žádné přísné formy tohoto dokumentu, ale musí splňovat požadavky TC a FZ-152, a proto by mělo být uvedeno:

cíl a cíle v této oblasti ochrana osobních údajů;
koncepce a složení osobních údajů;
ve kterých strukturálních divizích a na tom, co nosiče (papír, elektronický) akumulují a uloží tato data;
jak je sběr a skladování osobních údajů;
jak jsou zpracovány a použity;
kdo (podle příspěvků) v rámci firmy k nim měl;

Seznam osob přijatých do zpracování PD lze vydat jako příloha poskytování bezpečnosti osobních údajů nebo samostatný dokument schválený hlavou.

3. Soukromý model hrozeb (pokud existuje několik XAD, model hrozeb je vyvinut pro každého z nich) - je vyvinut podle výsledků předběžného vyšetření. FSTC RUSKO nabízí základní model ohrožení bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů, podle kterého by mělo být považováno za vytvoření soukromého modelu: \\ t

hrozby úniku informací na technických kanálech;
hrozby neoprávněného přístupu spojeného s působením porušovatelů s přístupem k dynamice, které implementují hrozby přímo do AHD. Zároveň je nezbytné jako potenciální porušovatelé zvážit právní uživatele AHD;
hrozby neoprávněného přístupu spojeného s činnostmi porušovatelů, které nemají přístup k CADIS, které provádějí hrozby z externích veřejných komunikačních sítí a (nebo) sítí mezinárodní výměny informací.

Vyvinutý model hrozby je schválen hlavou.

4. Na základě schváleného modelu hrozeb je nutná důstojnost vyvinout požadavky na zajištění bezpečnosti PD, pokud jsou zpracovány do AHD. Požadavky, stejně jako model hrozby, je nezávislý dokument, který by měl být schválen vedoucím organizace.

Rozvíjet model hrozeb a požadavků pro provozovatele, je vhodné přilákat specialisty na Držitel licence organizace FREC.

5. Pokyny z hlediska zajištění bezpečnosti PD, pokud jsou zpracovány v tečce.

Hodnotili jsme pouze hlavní organizační a správní dokumenty. Kromě těchto dokumentů je nutné sestavit akt klasifikace AHD, technického pasu ATD, elektronického časopisu registrace uživatelů uživatelů AHD, aby získal PD, nařízení o vymezení přístupových práv, objednávky na jmenování osob Práce s dynamikou atd.

Kromě toho před provedením všech akcí na ochraně PD musí provozovatel přiřadit úředník nebo (pokud je prach dostatečně vysoký) strukturní jednotka odpovědná za zajištění bezpečnosti PD. Rozhodnutí o jmenování je vydáno řádem hlavy. Úkoly, funkce a pravomoci oficiálního úředníka (divize) odpovědné za zajištění bezpečnosti PD stanoví interní organizační a správní doklady (úřední pokyny, předpisy).

Dotkněte se tedy třetinu dokumentů zvažovaných z FSTC - "Základní model hrozeb bezpečnosti osobních údajů". Tento dokument je pozoruhodný ... s jeho zpožděním ze současné situace po dobu 10-15 let.

Když jsem začal číst tento rukopis, měl jsem dojem, že jsem už někde všechno přečetl. A opravdu dosáhl konce, uvědomil jsem si, že zájem o 80 "základním modelu" je kreativní zpracování článků a materiálů z internetu, určené pro bezpečnost, síťové útoky, viry atd. Pravda, všechny tyto materiály byly publikovány počátkem poloviny 90. let. Co stojí za zmínku takových moderních útoků jako země, Scurf, ping smrti a podobně.

Sekce o virech ohromuje jejich inteligencí - zmínka o přerušení zachycení INT 13h, jako hlavní kanál pro vstup virů do systému, příběh o zvukových a video efektech a změnou palety obrazovky, nahrazení znaků při zadávání, formátování diskety (I Neviděli počítače s disketovými jednotkami), infekci souborů Obj. Jak se vám líbí tato fráze z dokumentu ze dne roku 2008: " Nejčastějšími viry společnosti používající funkci DOS je první, kdo provést soubory s příponou."Co Com, co Dos? Co tito lidé říkají v zemi pro informační bezpečnost?

Velká sekce je věnována síťovým útokům. Všechno by nebylo nic, kdyby nebyl před jeho publikací zastaralý. Zmínka o zpětném otvoru, Netbus, Nuke mluví sám za sebe. Příběh o tom, jak jsou data zachycena prostřednictvím nahrazení adres a zranitelností v protokolu ARP by byla zajímavá, kdyby to nebylo podobné knize "útok z Internetu", vydané v polovině 90. let a vyloženo na internetu stejný čas.

O Moderní síťové červy, útoky DDOS, úniky dat přes IM nebo e-mail, obejít prostředky ochrany, útoky na úroveň aplikace v tomto modelu hrozeb slovo. Ale je plná zmínka o takovém "slavném" ve světě IB společností jako Axent, Cybersafe, L-3, Bindview, atd. Vzpomínám si, když jsem zmínil o těchto společnostech ve vašich článcích a knize konce 90. let, také napsal, že tyto společnosti již neexistují. Oni byli absorbováni ve větším hráčům IB. Autoři dokumentu jsou v šťastné nevědomosti této skutečnosti.

Přidání znalostí autorů dokumentu v oblasti špatných programů. Mezi jejich nosiči mezi video adaptéry a zvukovými spoji, které z nějakého důvodu se nazývají vestavěné média, je také specifikováno napájení! Proč se napájení stalo nejen dopravcem informací, ale také nositelem škodlivého softwaru, který jsem nemohl pochopit. Zdá se, že je to výsledek uzavřených studií provedených respektovaným regulátorem.

Co ještě o tomto dokumentu říct? Obecně není nic, co by do (skutečnosti zmíněno říkají pro sebe.

Vladivostok, 201_

Označení a zkratky. 3.

Zákazník a performer. čtyři

1. Obecná ustanovení. Pět

2. Popis informačního systému .. 7

3. Popis hrozeb systému Nam System 8

3.1. Modelu porušovače. osm

3.2. Zobecněné schopnosti zdrojů útoků NIM systémy .. 13

3.3. Význam použití možností porušovače a směry útoků. šestnáct

3.4. Popis možných zranitelností v systému NIM 22

3.5. Ohrožení informací o systému nesystémových systémů 25

3.5.1. Hrozby únik na technických kanálech .. 26

3.5.2. Hrozby NSD na PDNS v NIM systémech 29

3.6. Stanovení relevance informací o bezpečnosti informací Nam Systems 73

3.6.1. Počáteční úroveň bezpečnosti. 73.

3.6.2. Algoritmus pro určení relevantního zabitého .. 74

3.6.3. Význam vraha .. 75

3.6.4. Seznam příslušných hrozeb. 83.

Zdroje vývoje. 87.

Označení a zkratky

Paže	Automatizované pracoviště
Střídavý	Hardware
Wts.	Pomocné technické prostředky a systémy
JE.	Informační systém
Kz.	Řízená zóna
NSD.	Neautorizovaný přístup
Os.	Operační systém
Pícha	Osobní informace
PODLE	Software
Pamin	Boční elektromagnetické záření a špičky
Svt.	Prostředky výpočetní techniky
Szi.	Nástroj pro bezpečnost informací
Spisi.	Kryptografický systém ochrany informací
Sf.	Středa fungování
Zabít	Hrozba bezpečnosti informací
Fsb.	Federální bezpečnostní služba
Fonda	Federální služby pro technické a exportní kontrolu

Zákazník a performer.

Adresa: Org Adresa.

Umělec je: společnost s ručením omezeným "informační bezpečnostní systémy" (zkrácený název - SIB LLC).

Adresa: 630009, Novosibirsk, Ul. Dobrolyubova, 16.

Obecná ustanovení

Tento model určuje skutečné ohrožení zabezpečení dat, když jsou zpracovány v informačním systému NIM Org, snižuje a měl by být použit při určování požadavků na systém informačního zabezpečení zadaného informačního systému.

Tento model hrozeb je vyvíjen na základě analytické zprávy o průzkumu státního informačního systému katedry školství a vědy Primorského území a stavové banky Banky Ruska.

Následující regulační a metodické dokumenty, normy byly použity k rozvoji modelu hrozeb GIS NIM ARG.

1. Federální zákon ze dne 27. července 2006 č. 149-FZ "o informacích, informačních technologií a ochraně informací";

3. pořadí Ruska z Ruska z 11. února 2013 č. 17 "o schválení požadavků na ochranu informací, které nepředstavují státní tajemství obsažené ve státních informačních systémech";

4. Usnesení vlády Ruské federace ze dne 1. listopadu 2012 č. 1119. "Při schvalování požadavků na ochranu osobních údajů při zpracování v informačních systémech osobních údajů";

5. Základní model ohrožení bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů (schválený zástupcem ředitele Ruska Ruska dne 15. února 2008);

6. Metodická doporučení pro rozvoj regulačních právních aktů, které určují bezpečnostní hrozby pro osobní údaje informace, aktuální při zpracování osobních údajů o osobních údajů informačních systémů provozovaných při provádění příslušných činností, schválených vedením 8. centrálního FSB z Ruska 31. března 2015 č. 149/7/2/6-432;

7. Objednávka FSB Ruska od 10.07. 2014 № 378 "o schválení složení a obsahu organizačních a technických opatření k zajištění bezpečnosti pdnů při zpracování v informačních systémech osobních údajů s využitím fondů kryptografických informací nezbytných pro splnění požadavků stanovených vládou Ruské federace Ochrana osobních údajů pro každou bezpečnost úrovně "(registrovaná na Ministerstvu spravedlnosti Ruska 18.08.2014 č. 33620);

8. Metody stanovení současných hrozeb bezpečnosti osobních údajů při zpracování v informačních systémech osobních údajů (schválených zástupcem ředitele Ruska Ruska dne 14. února 2008).

Model hrozby je tvořen a je schválen provozovatelem a může být revidován:

Rozhodnutím operátora na základě pravidelně stráveného analýzy a hodnocení hrozeb zabezpečení dat s přihlédnutím k charakteristikám a (nebo) změnám ve specifickém informačním systému;

· Podle výsledků opatření ke sledování soulad bezpečnosti dat při jejich zpracování v informačním systému.

Principy tvorby modelu hrozeb:

· Bezpečnost chráněných informací v oblasti IP je poskytována pomocí informačního zabezpečovacího systému;

· Chráněné informace jsou zpracovávány a uloženy v IP s využitím určitých informačních technologií a technických prostředků vytváření objektů ochrany různých úrovní, útoky, které vytvářejí přímé a nepřímé hrozby chráněným informacím;

· Systém ochrany údajů nemůže poskytnout informace z akcí provedených v rámci orgánu poskytnutého subjektu.

V modelu hrozby, popis IC a jeho strukturální a funkční charakteristiky, režim složení a zpracování chráněných informací, určující úroveň ochrany IC, popis hrozeb pro bezpečnost informací, je prezentován.

Popis informací o bezpečnostních hrozeb zahrnují:

· Popis možností vetřelce (model vetřelce);

· Popis možných zranitelností IP;

· Způsoby realizace hrozeb;

· Posouzení pravděpodobností (možností) realizace hrozeb;

· Hodnocení stupně a typu poškození z prodeje hrozeb;

· Stanovení relevance zabití.

Popis informačního systému

Systém je informační systém klienta serveru. MSQL-2008 se používá jako DBMS v systémech Nam. Technicky serverová část tohoto informačního systému je na serveru pod kontrolou MSQL v NIM ADR.

Zákaznické části se nacházejí na uměleckém pracovníkům NIM HRG.

Vložka z analytiky

Popis ohrožení NIM systémů NIM Org Redf

Model porušení

Zdroje hrozeb NSD v IP mohou být:

· Nákazatele;

· Nadržovací dopravce;

· Železářská karta.

Zabezpečení PDN VAULTER je definován jako individuální, náhodně nebo úmyslně provádějící akce, důsledek porušení bezpečnosti PDN při zpracování technickými prostředky v informačních systémech.

V NIM Orgu lze nadbytečnou povinnost všech porušovatelů klasifikovat takto - přítomností trvalých práv nebo jednorázového přístupu k KZ.

Podle této klasifikace jsou rozděleny do dvou typů:

· Porušitelé, kteří nemají přístup k KZ, provádějí hrozby z externích veřejných komunikačních sítí a (nebo) sítí mezinárodní výměny informací - vnější vetřelce;

• Porušitelé mají přístup k údajům KZ a (nebo) uložených v IP - interních poruch;

Zahraniční porušovatele pro realizaci hrozeb pro bezpečnost informací v IP NIM HYD SAPORT mohou být:

· Trestní struktury;

· Nespravedlivé partneři;

· Externí subjekty (jednotlivci).

Externí vetřelec má následující funkce:

· Provádět NSD do komunikačních kanálů, které přesahují kancelářské prostory;

· Provádět NSDS prostřednictvím AWP, připojené k veřejným komunikačním sítím a (nebo) sítím mezinárodní výměny informací;

· Provádět NSD na informace pomocí speciálních dopadů softwaru prostřednictvím softwarových virů, malwaru, algoritmických nebo softwarových záložek;

· Provádět NSD prostřednictvím prvků Informační infrastruktury IP, které v procesu jejich životního cyklu (modernizace, údržba, oprava, recyklace) se ukáže, aby byly mimo CZ;

· Provádět NSD prostřednictvím IP interakčních oddělení, organizací a institucí při jejich připojení k IP.

Možnosti interního porušovatele významně závisí na režimech a organizačních a technických opatřeních v provozu v rámci ČR, včetně přijetí jednotlivců do PDNS a kontrolu postupu pro provádění práce.

Domácí potenciální porušovatelé jsou rozděleni do osmi kategorií v závislosti na metodě přístupu a oprávněních přístupu k PDNS.

NA první kategorie (a1) Osoby s autorizovaným přístupem k IP, ale nemají přístup k PDNS. Tento typ porušovačů zahrnuje úředníky, kteří zajišťují normální provoz IP.

· Mají přístup k fragmentům informací obsahujících PDNS a rozšíření interních komunikačních kanálů IP;

· Fragmenty informací o topologii IC (komunikační části podsítě) a použitých komunikačních protokolů a jejich použitých služeb;

· Umístěte jména a identifikovat hesla registrovaných uživatelů;

· Změnit konfiguraci technických prostředků IP, aby se software a hardwarové záložky a poskytovat informace s přímým připojením k technickým prostředku IP.

· Mít všechny vlastnosti prvních kategorií osob;

• zná alespoň jeden právní název přístupu;

• má všechny potřebné atributy (například heslo), poskytující přístup k některé podmnožině PD;

· Představuje důvěrná data, která má přístup.

· Mít všechny funkce prvního a druhého kategorie;

· Má informace o topologii IP založené na místních a distribuovaných informačních systémech, kterými přistupuje, a složení technických prostředků IP;

· Má možnost přímého (fyzického) přístupu k fragmentům technických prostředků IP.

· Má úplné informace o systému a aplikačním softwaru používaným v segmentu (fragmentu) IP;

· Má úplné informace o technických prostředcích a konfiguraci segmentu (fragmentu) IP;

· Má přístup k prostředkům ochrany informací a protokolování, jakož i jednotlivých prvků používaných v segmentu (fragmentu) IP;

{!LANG-5d37e7e0e2661fb2e2083ef7316b969b!}

{!LANG-282482816cd56cef93f1c56f475d8baf!}