Модель угроз
Реферат, 17 Мая 2012, автор: пользователь скрыл имя
Описание работы
Определите класс АС (по РД).
Определите перечень ПДн, их категорию и объем.
Определите класс ИСПДн.
Определите актуальность УБПДн для ИСПДн и возможные последствия реализации данных угроз (УБПДн выбираются по вариантам из журнала).
Определите внутренних и внешних нарушителей УБПДн.
Разработайте комплекс защитных мероприятий по обеспечению информационной безопасности в ИСПДн по данным угрозам.
Содержание работы
ЗАДАНИЕ 3
1 КЛАССИФИКАЦИЯ АС 4
2 ПЕРЕЧЕНЬ ПДН, ИХ КАТЕГОРИЯ И ОБЪЕМ 6
3 КЛАССИФИКАЦИЯ ИСПДН 8
4 АКТУАЛЬНОСТЬ УБПДН ДЛЯ ИСПДН И ВОЗМОЖНЫЕ ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ ДАННЫХ УГРОЗ 11
5 ВНУТРЕННИХ И ВНЕШНИХ НАРУШИТЕЛЕЙ УБПДН 15
6 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ 17
7 ПОТОКИ ИНФОРМАЦИИ В ДОМЕН ФБИ В ПРОЦЕССЕ АВТОРИЗАЦИИ ПОЛЬЗОВАТЕЛЯ ДОМЕНА 23
8 УГРОЗЫ УТЕЧКИ ВИДОВОЙ ИНФОРМАЦИИ 24
9 ОБЩАЯ ХАРАКТЕРИСТИКА УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕАЛИЗУЕМЫХ С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛОВ МЕЖСЕТЕВОГО ВЗАИМОДЕЙСТВИЯ 25
10 ВОЗМОЖНЫЕ ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ УГРОЗ РАЗЛИЧНЫХ КЛАССОВ 29
11 СОЗДАНИЕ НЕТРАДИЦИОННЫХ ИНФОРМАЦИОННЫХ КАНАЛОВ 32
Файлы: 1 файл
модугр.docx
— 74.79 Кб (Скачать файл)Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
1.9. Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Класс системы - 1Г.
2 ПЕРЕЧЕНЬ ПДН, ИХ КАТЕГОРИЯ И ОБЪЕМ
Персональные
данные– любая информация, относящаяся
к определенному или определяемому на
основании такой информации физическому
лицу (субъекту персональных данных), в
том числе его фамилия,имя,отчество,
Категории обрабатываемых в ИС ПДн (XПД):
категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория
2 - персональные данные, позволяющие
идентифицировать субъекта персональных
данныхиполучитьонемдополнитель
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
Объем обрабатываемых персональных данных (XНПД).
1 - в ИС
одновременно обрабатываются
2 - в ИС
одновременно обрабатываются
- - в ИС одновременно обрабатываются ПДн менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.
3 КЛАССИФИКАЦИЯ ИСПДН
Исходные данные:
- категория
обрабатываемых в
- объем
обрабатываемых персональных
- заданные
оператором характеристики
- структура информационной системы;
- наличие
подключений информационной
- режим обработки персональных данных;
- режим разграничения прав доступа пользователей информационной системы;
- местонахождение
технических средств
По заданным оператором характеристикам безопасности ПДн, обрабатываемых в ИС, подразделяются на:
– типовые;
– специальные.
Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
Специальные
информационные системы - информационные
системы, в которых вне зависимости
от необходимости обеспечения
К специальным информационным системам должны быть отнесены:
- ИС, в которых обрабатываются персональные данные, касающиеся состояния здоровья субъектов персональных данных;
- ИС, в которых предусмотрено принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы.
По структуре ИС подразделяются на:
- автономные
(не подключенные к иным
- комплексы АРМ, объединенных в единую ИС средствами связи без использования технологии удаленного доступа (локальные информационные системы (ЛИС));
- комплексы АРМ и (или) ЛИС, объединенных в единую ИС средствами связи с использованием технологии удаленного доступа (распределенные информационные системы (РИС)).
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на:
– системы, имеющие подключения,
– системы, не имеющие подключений.
По режиму обработки ПДн в ИС подразделяются на:
– однопользовательские;
– многопользовательские.
По разграничению
прав доступа пользователей
– системы без разграничения прав доступа;
– системы с разграничением прав доступа.
ИС в
зависимости от местонахождения
их технических средств
– системы, все технические средства которых находятся в пределах РФ;
– системы, технические средства которых частично или целиком находятся за пределами РФ.
По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов:
класс 1 (К1) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (К3) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - ИС, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
4 АКТУАЛЬНОСТЬ УБПДН ДЛЯ ИСПДН И ВОЗМОЖНЫЕ ПОСЛЕДСТВИЯ РЕАЛИЗАЦИИ ДАННЫХ УГРОЗ
Таблица 1 - Перечень исходной защищённости ИСПДн
Технические и эксплуатационные характеристики ИСПДн |
Высокий |
Средний |
Низкий |
По территориальному размещению: |
|||
локальнаяИСПДн, развернутая в пределах одного здания |
! |
||
По наличию соединения с сетями общего пользования |
|||
ИСПДн, имеющая многоточечный выход в сеть общего пользования |
! | ||
По встроенным (легальным) операциям с записями баз персональных данных |
|||
Запись, удаление и сортировка |
! |
||
По разграничению доступа к персональным данным |
|||
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн |
! | ||
По наличию соединений с другими базами ПДн иных ИСПДн |
|||
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн |
! |
||
По уровню обобщения (обезличивания) ПДн |
|||
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации |
! |
||
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки |
|||
ИСПДн, не предоставляющая никакой информации |
! |
||
ИТОГО |
3 |
2 |
2 |