Первоисточники
1. Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».
2. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.
3. Приказ от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных» Федеральной службы по техническому и экспертному контролю №55, Федеральной службы безопасности Российской Федерации №86, Министерства информационных технологий и связи Российской Федерации №20.
4. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 15.02.2008.
5. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных, утвержденных заместителем директора ФСТЭК России 15.02.2008.
6. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008.
7. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14.02.2008.
8. Федеральное агентство правительственной связи и информации при Президенте Российской Федерации. Приказ от 13.06.2001 №152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
9. График проведения Всероссийских, межрегиональных и региональных совещаний территориальных органов Федерального казначейства в 2009 году, утвержденный руководителем Федерального казначейства 26 февраля 2009 г.
|
Приложение № 15
к Положению по организации работы с персональными данными в Управлении Федерального казначейства по Забайкальскому краю и отделениях Управления Федерального казначейства по Забайкальскому краю
|
Пример модели угроз безопасности персональных данных для автоматизированной информационной системы персональных данных Управления Федерального казначейства по Забайкальскому краю
|
УПРАВЛЕНИЕ ФЕДЕРАЛЬНОГО КАЗНАЧЕЙСТВА ПО ЗАБАЙКАЛЬСКОМУ КРАЮ
Принято на заседании постоянно действующей технической комиссии Управления Федерального казначейства по Забайкальскому краю по защите информации с ограниченным доступом
Протокол от « » 2010 г. № ___.
Модель угроз безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК»
Чита, 2010
Содержание
Сокращения
I. Общие положения.
II. Классификация автоматизированной информационной системы персональных данных «АКСИОК».
III. Угрозы безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК».
3.1. Угрозы утечки информации по техническим каналам.
3.2. Угрозы несанкционированного доступа к персональным данным, обрабатываемым в локальных информационных системах персональных данных.
IV. Актуальные угрозы безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК».
Первоисточники
Сокращения
ИСПДн – информационная система персональных данных
ИР – информационные ресурсы
I. Общие положения.
В настоящем документе представлена классификация автоматизированной информационной системы персональных данных «АКСИОК» в соответствии с Приказом от 13.02.2008 «Об утверждении порядка проведения классификации информационных систем персональных данных» Федеральной службы по техническому и экспертному контролю № 55, Федеральной службы безопасности Российской Федерации № 86, Министерства информационных технологий и связи Российской Федерации № 20.
Данный документ также содержит модель угроз безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК», разработанную в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем ФСТЭК России 15.02.2008. Актуальные угрозы определены в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем ФСТЭК России 14.02.2008.
Классификация и модель угроз безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК», представленные в настоящем документе, одобрены на заседании от ___.___2010 №___ постоянно действующей технической комиссии по защите информации с ограниченным доступом, созданной в соответствии с Приказом Руководителя Управления Федерального казначейства по Забайкальскому краю от ___.___2010 №___.
II. Классификация автоматизированной информационной системы персональных данных «АКСИОК».
Автоматизированная информационная система персональных данных «АКСИОК» является типовой, многопользовательской, локальной, не имеющей подключений к сетям связи общего пользования и (или) сетям международного информационного обмена, с разграничением прав доступа, все технические средства которой находятся в пределах Российской Федерации.
Автоматизированная информационная система «АКСИОК» обладает следующими показателями: Хпд = 2, Хнпд = 3. На основании данных показателей автоматизированная информационная система «АКСИОК» принадлежит к классу 3 – информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
III. Угрозы безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК».
Вследствие классификации автоматизированной информационной системы персональных данных «АКСИОК», представленной в главе 2, в основу модели угроз безопасности персональных данных, обрабатываемых в данной информационной системе может быть положена типовая модель угроз безопасности персональных данных, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена [2, п.6.3.]. При этом возможна реализация следующих угроз безопасности персональных данных:
- угроз утечки информации по техническим каналам;
- угроз несанкционированного доступа к персональным данным, обрабатываемым в локальных информационных системах персональных данных.
3.1. Угрозы утечки информации по техническим каналам.
Угрозы утечки информации по техническим каналам представляют собой угрозы утечки видовой информации, где просмотр персональных данных осуществляется посторонними лицами путем их непосредственного наблюдения в служебных помещениях. Формально данная угроза может быть представлена следующим образом:
Uутечки видовой информации = <Физические лица, не имеющие доступа к ИСПДн>, <непосредственное наблюдение в служебных помещениях>, <экраны дисплеев и другие средства отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн>.
3.2. Угрозы несанкционированного доступа к персональным данным, обрабатываемым в локальных информационных системах персональных данных.
Угрозы несанкционированного доступа к персональным данным, обрабатываемым в локальных информационных системах персональных данных, включают в себя:
угрозы доступа в операционную среду компьютера с использованием штатного программного обеспечения;
угрозы внедрения вредоносных программ.
Угрозы доступа в операционную среду компьютера с использованием штатного программного обеспечения могут быть:
угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций операционной системы или прикладных программ;
угрозы «анализа сетевого трафика» с перехватом передаваемой по сети информации;
угрозы выявления паролей;
угрозы удаленного запуска приложений.
Для данных угроз источниками могут являться внутренние нарушители, имеющие доступ к ИСПДн, а именно:
лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к информационным ресурсам;
программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн;
разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн.
Уязвимостями ИСПДн при этом могут быть:
уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных;
уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа.
Способом реализации угрозы может быть использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн.
Объектом воздействия может быть:
информация, находящаяся на встроенных носителях долговременного хранения;
информация, находящаяся в оперативной памяти;
информация, находящаяся в средствах, реализующих сетевое взаимодействие.
Может быть оказано следующее деструктивное воздействие:
нарушение конфиденциальности;
нарушение целостности;
нарушение доступности.
Формально угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций операционной системы или прикладных программ могут быть представлены следующим образом:
- Uнесанкционированного доступа к встроенным носителям = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>;
- Uнесанкционированного доступа к оперативной памяти = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>;
Формально угрозы «анализа сетевого трафика» с перехватом передаваемой по сети информации могут быть представлены следующим образом:
- Uнарушения конфиденциальности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение конфиденциальности>;
- Uнарушения целостности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение целостности>;
- Uнарушения доступности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение доступности>;
Формально угрозы выявления паролей могут быть представлены следующим образом:
- Uдоступа к базе посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>;
- Uдоступа к базе посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>;
- Uдоступа к оперативной памяти посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>;
- Uдоступа к оперативной памяти посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>.
Формально угрозы удаленного запуска приложений могут быть представлены следующим образом:
- Uнарушение конфиденциальности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>;
- Uнарушение целостности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение целостности>.
Угрозы внедрения вредоносных программ связаны со всеми классами вредоносных программ в соответствии с рисунком 15 Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем ФСТЭК России 15.02.2008.
Источниками угрозы при этом могут быть:
отчуждаемые носители вредоносных программ;
локальная вычислительная сеть.
Способами инициирования при этом могут являться следующие:
посредством дискет;
посредством устройств flash cads;
посредством локальной вычислительной сети.
Объектом воздействия являются:
- загрузочный сектор диска компьютера;
- компьютерные программы;
- файлы баз данных.
Формально угрозы внедрения вредоносных программ могут быть представлены следующим образом:
- Uвнедрения вредоносных программ = <любые вредоносные программы>, <отчуждаемые носители вредоносных программ, локальная вычислительная сеть>, <дискеты, flash cads, локальная вычислительная сеть>, <загрузочный сектор диска компьютера, компьютерные программы, файлы баз данных>.
IV. Актуальные угрозы безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК».
Определим уровень исходной защищенности автоматизированной информационной системы персональных данных «АКСИОК» с учетом информации представленной в таблице 4.1.
Таблица 4.1. Показатели автоматизированной информационной системы персональных данных «АКСИОК» для определения уровня исходной защищенности.
Тип технической (эксплуатационной) характеристики
|
Техническая (эксплуатационная) характеристика
|
Уровень защищенности
|
По территориальному размещению
|
Локальная ИСПДн, развернутая в пределах нескольких близко расположенных зданий
|
Средний
|
По наличию соединения с сетями общего пользования
|
ИСПДн, имеющая многоточечный выход в сеть общего пользования
|
Низкий
|
По встроенным операциям с записями баз персональных данных
|
Запись, удаление, сортировка
|
Средний
|
По разграничению доступа к персональным данным
|
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн
|
Средний
|
По наличию соединений с другими базами ПДн иных ИСПДн
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн.
|
Высокий
|
По уровню обобщения ПДн
|
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными
|
Низкий
|
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
|
ИСПДн, не предоставляющие никакой информации
|
Высокий
|
Из таблицы 4.1. следует, что автоматизированная информационная система «АКСИОК» по двум типам характеристик имеет высокий уровень защищенности, по трем – средний, и по двум – низкий. Таким образом, в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем ФСТЭК России 14.02.2008, автоматизированная информационная система персональных данных «АКСИОК» имеет средний уровень исходной защищенности, которой ставится в соответствие числовой коэффициент Y1 = 5.
Полученная на основе экспертных оценок, для описанных в параграфе 3 угроз безопасности персональных данных автоматизированной информационной системы персональных данных «АКСИОК», частота их реализации представлена в таблице 4.2.
Таблица 4.2. Частота реализации угроз безопасности персональных данных автоматизированной информационной системы персональных данных «АКСИОК».
Угроза
|
Частота реализации
|
Y2
|
Uутечки видовой информации = <Физические лица, не имеющие доступа к ИСПДн>, <непосредственное наблюдение в служебных помещениях>, <экраны дисплеев и другие средства отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн>
|
Высокая вероятность
|
10
|
Uнесанкционированного доступа к встроенным носителям = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Маловероятно
|
0
|
Uнесанкционированного доступа к оперативной памяти = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Низкая вероятность
|
2
|
Uнарушения конфиденциальности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение конфиденциальности>
|
Средняя вероятность
|
5
|
Uнарушения целостности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение целостности>
|
Низкая вероятность
|
2
|
Uнарушения доступности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение доступности>
|
Средняя вероятность
|
5
|
Uдоступа к базе посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Низкая вероятность
|
2
|
Uдоступа к базе посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Низкая вероятность
|
2
|
Uдоступа к оперативной памяти посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Средняя вероятность
|
5
|
Uдоступа к оперативной памяти посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Средняя вероятность
|
5
|
Uнарушение конфиденциальности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Средняя вероятность
|
5
|
Uнарушение целостности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение целостности>
|
Низкая вероятность
|
2
|
Uвнедрения вредоносных программ = <любые вредоносные программы>, <отчуждаемые носители вредоносных программ, локальная вычислительная сеть>, <дискеты, flash cads, локальная вычислительная сеть>, <загрузочный сектор диска компьютера, компьютерные программы, файлы баз данных>
|
Высокая вероятность
|
10
|
С учетом частот реализации угроз, представленных в таблице 4.2., коэффициент реализуемости угрозы Y, рассчитанный по формуле Y=(Y1 +Y2)/20, для каждой угрозы имеет вид, представленный в таблице 4.3. В данной таблице для каждой угрозы безопасности персональных данных автоматизированной информационной системы персональных данных «АКСИОК» приводится также вербальная интерпретация коэффициента реализуемости угрозы.
Таблица 4.3. Частота реализации угроз безопасности персональных данных автоматизированной информационной системы персональных данных «АКСИОК» с вербальной интерпретацией.
Угроза
|
Y2
|
Вербальная интерпретация (возможность реализации угрозы)
|
Uутечки видовой информации = <Физические лица, не имеющие доступа к ИСПДн>, <Непосредственное наблюдение в служебных помещениях>, <Экраны дисплеев и другие средства отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн>
|
0.75
|
Высокая
|
Uнесанкционированного доступа к встроенным носителям = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
0.25
|
Низкая
|
Uнесанкционированного доступа к оперативной памяти = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
0.35
|
Средняя
|
Uнарушения конфиденциальности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение конфиденциальности>
|
0.50
|
Средняя
|
Uнарушения целостности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение целостности>
|
0.35
|
Средняя
|
Uнарушения доступности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение доступности>
|
0.50
|
Средняя
|
Uдоступа к базе посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
0.35
|
Средняя
|
Uдоступа к базе посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
0.35
|
Средняя
|
Uдоступа к оперативной памяти посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
0.50
|
Средняя
|
Uдоступа к оперативной памяти посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
0.50
|
Средняя
|
Uнарушение конфиденциальности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
0.50
|
Средняя
|
Uнарушение целостности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение целостности>
|
0.35
|
Средняя
|
Uвнедрения вредоносных программ = <любые вредоносные программы>, <отчуждаемые носители вредоносных программ, локальная вычислительная сеть>, <дискеты, flash cads, локальная вычислительная сеть>, <загрузочный сектор диска компьютера, компьютерные программы, файлы баз данных>
|
0.75
|
Высокая
|
С учетом вышеприведенных расчетов, на основании Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем ФСТЭК России 14.02.2008 перечень угроз безопасности персональных данных c указанием их актуальности представлен в таблице 4.4.
Таблица 4.4. Перечень угроз безопасности персональных данных для автоматизированной информационной системы персональных данных «АКСИОК» с указанием их актуальности.
Угроза
|
Возможность реализации угрозы
|
Опасность угрозы
|
Актуальность угрозы
|
Uутечки видовой информации = <Физические лица, не имеющие доступа к ИСПДн>, <непосредственное наблюдение в служебных помещениях>, <экраны дисплеев и другие средства отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн>
|
Высокая
|
Низкая
|
Актуальная
|
Uнесанкционированного доступа к встроенным носителям = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Низкая
|
Средняя
|
Неактуальная
|
Uнесанкционированного доступа к оперативной памяти = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Средняя
|
Низкая
|
Неактуальная
|
Uнарушения конфиденциальности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение конфиденциальности>
|
Средняя
|
Средняя
|
Актуальная
|
Uнарушения целостности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение целостности>
|
Средняя
|
Средняя
|
Актуальная
|
Uнарушения доступности посредством анализа «сетевого трафика» = <разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн>, <уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в средствах, реализующих сетевое взаимодействие>, <нарушение доступности>
|
Средняя
|
Низкая
|
Неактуальная
|
Uдоступа к базе посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Средняя
|
Средняя
|
Актуальная
|
Uдоступа к базе посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Средняя
|
Средняя
|
Актуальная
|
Uдоступа к оперативной памяти посредством выявления паролей сотрудниками = <лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступа к ИР>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Средняя
|
Низкая
|
Неактуальная
|
Uдоступа к оперативной памяти посредством выявления паролей программистами = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся в оперативной памяти>, <нарушение конфиденциальности>
|
Средняя
|
Низкая
|
Неактуальная
|
Uнарушение конфиденциальности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение конфиденциальности>
|
Средняя
|
Средняя
|
Актуальная
|
Uнарушение целостности посредством удаленного запуска приложений = <программисты разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн>, <уязвимости, вызванные недостатками организации защиты информации от несанкционированного доступа>, <использование существующих уязвимостей программно-аппаратного обеспечения ИСПДн>, <информация, находящаяся на встроенных носителях долговременного хранения>, <нарушение целостности>
|
Средняя
|
Средняя
|
Актуальная
|
Uвнедрения вредоносных программ = <любые вредоносные программы>, <отчуждаемые носители вредоносных программ, локальная вычислительная сеть>, <дискеты, flash cads, локальная вычислительная сеть>, <загрузочный сектор диска компьютера, компьютерные программы, файлы баз данных>
|
Высокая
|
Низкая
|
Актуальная
| |
