Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании

Курсовая работа

КАФЕДРА «БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ СИСТЕМ»

«Разработка частной модели угроз и технического задания на информационную систему персональных данных ТВ-компании»

Китаев А.В.

Резниченко В.В.

«__»__________2012 г.

1. Модель угроз безопасности персональных данных

2. Техническое задание на выполнение работ по аттестации по требованиям безопасности информации информационной системы персональных данных

1. Модель угроз безопасности персональных данных

МОДЕЛЬ УГРОЗ безопасности персональных данных при их обработке в информационной системе персональных данных «ИСПДн ЧТК» Челябинской Телевизионной Компании

1. Общие положения

Данная частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «ИСПДн ЧТК» Челябинской Телевизионной Компании (далее — ИСПДн) разработана на основании:

1) «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

2) «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

3) ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения».

Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «ИСПДн ЧТК».

2. Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн

Потенциальную опасность безопасности персональных данных (далее — ПДн) при их обработке в ИСПДн представляют:

  • угрозы утечки информации по техническим каналам;
  • угрозы персонала.

3. Определение актуальных угроз безопасности ПДн при обработке в ИСПДн

3.1 Определение уровня исходной защищенности ИСПДн

Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в Таблице 1.

4 стр., 1977 слов

Защита персональных данных на предприятии на примере школы

... угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14. 02.2008. В соответствии с правилами отнесения угроз безопасности к актуальным для ИСПДн ГОУ СОШ существуют следующие характеристики актуальности угроз: Угроза безопасности ПДн Актуальность угрозы угроза ...

Таблица 1. Уровень исходной защищенности

Таким образом, ИСПДн имеет средний (Y 1 =5) уровень исходной защищенности, т. к. не менее 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний».

3.2 Определение актуальных угроз безопасности ПДн

Частота реализации угроз, опасность угроз и актуальность угроз определены экспертным методом в соответствии с Методикой на основе опроса экспертов (специалистов в области защиты информации) и результатов обследования ИСПДн.

Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Наименование системы персональных данных», актуальными являются следующие угрозы безопасности:

1. Угрозы утечки информации по техническим каналам

1.1 Угрозы утечки информации по каналам ПЭМИН

2. Физические угрозы

2.2 Преднамеренные действия внешнего нарушителя

2.2.1 Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны.

2.3 Преднамеренные действия внутреннего нарушителя

2.3.1 Изменение режимов работы технических средств ИСПДн

2.3.2 Несанкционированное проводное подключение к кабельной линии (коммуникационному оборудованию) в пределах контролируемой зоны

Таблица 2. Актуальные угрозы безопасности ПДн

3. Угрозы несанкционированного доступа

3.1.2 Запуск операционной системы с внешнего (сменного) носителя

3.1.4 Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т. п.)

3.1.5 Несанкционированный доступ к информации с использованием прикладного программного обеспечения

3.1.6 Несанкционированный доступ к информации с использованием специально созданного программного обеспечения

3.1.7 Несанкционированное копирование информации на внешние (сменные) носители

3.1.8 Изменение режимов работы или отключение средств защиты информации

3.2.1 Непреднамеренный запуск вредоносных программ

3.2.2 Непреднамеренная модификация (уничтожение) информации

3.2.3 Непреднамеренное изменение режимов работы или отключение средств защиты информации

3.3 Локальные уязвимости системного программного обеспечения

3.3.1 Несанкционированное повышение привилегий пользователя операционной системы

3.3.2 Несанкционированное выполнение произвольных команд операционной системы

3.3.3 Модификация (подмена) компонентов операционной системы

3.3.4 Отказ в обслуживании операционной системы

3.3.5 Уязвимости в микропрограммах (прошивках) технических средств ИСПДн

3.4 Локальные уязвимости прикладного программного обеспечения

3.4.1 Несанкционированное повышение привилегий пользователя

3.4.2 Несанкционированное выполнение произвольных команд операционной системы через уязвимости прикладного программного обеспечения

3.4.3 Модификация (подмена) компонентов прикладного программного обеспечения

3.4.4 Отказ в обслуживании прикладного программного обеспечения

4. Угрозы персонала

4.1 Преднамеренное разглашение конфиденциальной информации

4.2 Непреднамеренное разглашение конфиденциальной информации

2. Техническое задание на выполнение работ по аттестации по требованиям безопасности информации информационной системы персональных данных

Угроза

Анализ реализации мер защиты

Вероятность реализации угрозы (коэффициент Y2)

Возможность реализации угрозы

(коэффициент Y)

Факторы, определяющие опасность угрозы

Показатель опасности угрозы

Актуальность угрозы

1. Угрозы утечки информации по техническим каналам

1.1 Угрозы утечки акустической (речевой) информации

Угрозы утечки акустической (речевой) информации

Функции голосового ввода и воспроизведения ПДн акустическими средствами ИСПДн отсутствуют.

маловероятно

(0)

низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн. Стоимость реализации угрозы не сопоставима с ценностью и возможно полученным объемом ПДн.

низкая

неактуальная

1.2 Угрозы утечки видовой информации

Угрозы утечки видовой информации

Расположение средств отображения средств вычислительной техники и жалюзи на окнах помещений исключают возникновение прямой видимости между средством наблюдения и носителем ПДн.

маловероятно

(0)

низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

низкая

неактуальная

1.3 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (далее ПЭМИН)

Утечка информации по каналам ПЭМИН

Мер защиты информации от утечки по каналам ПЭМИН не принято.

высокая вероятность

(10)

высокая

(0,75)

Реализация угрозы может привести к нарушению конфиденциальности.

средняя

актуальная

2. Физические угрозы

2.1 Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн

Неавторизованное проникновение внешнего нарушителя в помещение, в котором ведется обработка ПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение.

маловероятно

(0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

неактуальная

2.2 Угрозы стихийного характера

Угрозы стихийного характера

В помещении, где расположен сервер БД, установлена пожарная сигнализация. Организовано резервное копирование на съемные и несъемные носители. Регламент резервного копирования утвержден.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

средняя

неактуальная

2.3 Преднамеренные действия внешнего нарушителя

Повреждение каналов связи (кабелей), выходящих за пределы контролируемой зоны

Кабельные линии выходят за пределы контролируемой зоны

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы может привести к временному нарушению доступности ПДн.

низкая

неактуальная

Кража технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование. Ведется учет носителей ПДн.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности и доступности ПДн.

средняя

неактуальная

Порча или уничтожение технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

средняя

неактуальная

Подлог носителей, содержащих недостоверную информацию

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

ПДн хранятся на учтенных съемных носителях.

маловероятно (0)

низкая

(0,25)

Реализация угрозы приведет к нарушению достоверности ПДн

средняя

неактуальная

Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны

Кабельные линии выходят за пределы контролируемой зоны.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Внедрение аппаратных закладок в технические средства ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн, закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

неактуальная

2.4 Преднамеренные действия внутреннего нарушителя

Кража технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях. Организовано и регламентировано резервное копирование.

маловероятно (0)

низкая

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

средняя

неактуальная

Порча или уничтожение технических средств ИСПДн, носителей информации

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Организовано и регламентировано резервное копирование.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

средняя

неактуальная

Подлог носителей, содержащих недостоверную информацию

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. ПДн хранятся на учтенных съемных носителях.

маловероятно (0)

низкая

(0,25)

Реализация угрозы приведет к нарушению достоверности ПДн.

средняя

неактуальная

Изменение режимов работы технических средств ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Физический доступ к кабельным линиям, находящимся в пределах контролируемой зоны затруднен.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

низкая

неактуальная

Несанкционирован-ное проводное подключение к кабельной линии (коммуникацион-ному оборудованию) в пределах контролируемой зоны

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. Физический доступ к коммуникационному оборудованию и кабельным линиям затруднен. Коммутационное оборудование расположено в шкафу под замком в коридоре.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн

средняя

актуальная

Внедрение аппаратных закладок в технические средства ИСПДн

Предпринятые меры защиты включают в себя охрану контролируемой зоны, охранную сигнализацию и видеонаблюдение. В нерабочее время помещения, в которых ведется обработка ПДн закрываются на ключ. Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом. Технические средства ИСПДн опломбированы.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн

средняя

неактуальная

2.5 Непреднамеренные действия внутреннего нарушителя

Непреднамеренная утрата носителей информации

Организовано и регламентировано резервное копирование. ПДн хранятся на учтенных съемных носителях.

маловероятно (0)

средняя

(0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

средняя

неактуальная

Непреднамеренный вывод из строя или изменение режимов работы технических средств ИСПДн

Доступ к серверу БД ограничен кругом лиц, являющихся сотрудниками организации. Перечень лиц утвержден приказом.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

неактуальная

Непреднамеренное повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Физический доступ к кабелям, находящимся в пределах контролируемой зоны затруднен.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

низкая

неактуальная

2.6 Угрозы технического характера

Потеря данных в результате отказа носителей информации

Организовано и регламентировано резервное копирование.

маловероятно (0)

низкая

(0,25)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

средняя

неактуальная

Отказ внешних источников энергоснабжения

[Электронный ресурс]//URL: https://liarte.ru/kursovaya/model-ugroz-personalnyim-dannyim/

Для технических средств обработки ПДн предусмотрены источники бесперебойного питания.

низкая

вероятность

(2)

средняя

(0,35)

Реализация угрозы может привести к временному нарушению доступности ПДн.

низкая

неактуальная

Резкие колебания напряжения в электрической сети

Для технических средств обработки ПДн предусмотрены источники бесперебойного питания.

низкая

вероятность

(2)

средняя

(0,35)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

низкая

неактуальная

3. Угрозы несанкционированного доступа

3.1 Преднамеренные действия нарушителя

Внедрение программных закладок

Программные средства не сертифицированы на отсутствие недекларированных возможностей. Контроль целостности программной среды не осуществляется.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Запуск операционной системы с внешнего (сменного) носителя

Использование сменных носителей не ограничено.

высокая вероятность

(10)

высокая

(0,75)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Внедрение вредоносных программ

Используются средства антивирусной защиты.

низкая

вероятность

(2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т.п.)

Полномочия пользователей ограничены рамками служебных обязанностей.

низкая

вероятность

(2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Несанкционирован-ный доступ к информации с использованием прикладного программного обеспечения

Полномочия пользователей по установке и запуску прикладного ПО ограничены. Использование сменных носителей не ограничено.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Несанкционирован-ный доступ к информации с использованием специально созданного программного обеспечения

Типовой состав ПО не включает средства создания программного обеспечения. Использование сменных носителей не ограничено.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Несанкционирован-ное копирование информации на внешние (сменные) носители

Использование сменных носителей не ограничено. Ведется учет сменных носителей ПДн.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

средняя

актуальная

Подбор аутентификацион-ных данных пользователя

Установлены требования к сложности паролей.

маловероятно

(0)

низкая

(0,25)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

неактуальная

Изменение режимов работы или отключение средств защиты информации

Доступ к средствам защиты информации имеют только администраторы ИСПДн.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

3.2 Непреднамеренные действия нарушителя

Непреднамеренный запуск вредоносных программ

Используются средства антивирусной защиты.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

Непреднамеренная модификация (уничтожение) информации

Утверждена матрица доступа. Имеются инструкции пользователей.

низкая вероятность

(2)

средняя

(0,35)

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

средняя

актуальная

Непреднамеренное изменение режимов работы или отключение средств защиты информации

Доступ к средствам защиты информации имеют только администраторы ИСПДн.

низкая вероятность (2)

средняя

(0,35)

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

средняя

актуальная

4. Угрозы персонала

Преднамеренное разглашение конфиденциальной информации

Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях.

низкая вероятность

(2)

средняя

(0,35)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

средняя

актуальная

Непреднамеренное разглашение конфиденциальной информации

Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

средняя

актуальная

Подлог недостоверной информации

Ведется частичная регистрация действий пользователей ИСПДн.

средняя вероятность

(5)

средняя

(0,5)

Реализация угрозы приведет только к нарушению достоверности ПДн.

средняя

актуальная