Пример определения типа актуальных угроз испдн


пример определения типа актуальных угроз испдн

угрозы утраты ключей и атрибутов доступа.

Рекомендуемыми мерами по предотвращению реализации актуальных угроз, являются:

  • установка антивирусной защиты;

  • парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

  • назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

  • инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.

Таблица 40 – Автономная ИС VIтипа

Тип угроз безопасности ПДн

Опасность

угрозы

1.

угрозы утраты ключей и атрибутов доступа.

Рекомендуемыми мерами по предотвращению реализации актуальных угроз, являются:

  • установка антивирусной защиты;

  • парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

  • назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

  • инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа.

Таблица 36 – Автономная ИСIIтипа

Тип угроз безопасности ПДн

Опасность

угрозы

1.

Вниманиеattention
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

2.3.1. Утрата ключей и атрибутов доступа

актуальная

2.3.2.


Непреднамеренная модификация (уничтожение) информации сотрудниками

неактуальная

2.3.3. Непреднамеренное отключение средств защиты

неактуальная

2.3.4.
Выход из строя аппаратно-программных средств

неактуальная

2.3.5. Сбой системы электроснабжения

неактуальная

2.3.6.

Угрозы от утечки по техническим каналам.

1.1. Угрозы утечки акустической информации

неактуальная

1.2. Угрозы утечки видовой информации

неактуальная

1.3.

Угрозы утечки информации по каналам ПЭМИН

неактуальная

2. Угрозы несанкционированного доступа к информации.

2.1.
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

неактуальная

2.1.2. Кража носителей информации

неактуальная

2.1.3.
Кража ключей и атрибутов доступа

неактуальная

2.1.4. Кражи, модификации, уничтожения информации

неактуальная

2.1.5.

Угрозы от утечки по техническим каналам.

1.1. Угрозы утечки акустической информации

неактуальная

1.2. Угрозы утечки видовой информации

неактуальная

1.3.

Важноimportant
Угрозы утечки информации по каналам ПЭМИН

неактуальная

2. Угрозы несанкционированного доступа к информации.

2.1.


Инфоinfo
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

неактуальная

2.1.2. Кража носителей информации

неактуальная

2.1.3.


Кража ключей и атрибутов доступа

неактуальная

2.1.4. Кражи, модификации, уничтожения информации

неактуальная

2.1.5.

Установка ПО не связанного с исполнением служебных обязанностей

неактуальная

2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.

2.3.1.

Утрата ключей и атрибутов доступа

актуальная

2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

неактуальная

2.3.3.

Непреднамеренное отключение средств защиты

неактуальная

2.3.4. Выход из строя аппаратно-программных средств

неактуальная

2.3.5.

актуальная

Средняя

неактуальная

актуальная

актуальная

Высокая

актуальная

актуальная

актуальная

Очень высокая

актуальная

актуальная

актуальная

После чего делается вывод о наличии актуальных угроз и мер защиты, направленных на снижения риска возникновения и последствий актуальных угроз.

Определение актуальности угроз производится на основании Отчета о результатах проведения внутренней проверки.

После определения перечня актуальных угроз выбираются мероприятия организационного, физического технического и контролирующего характера по снижению опасности актуальных угроз.

На основе полученных данных составляется таблица:Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая Неактуальная Неактуальная Актуальная Средняя Неактуальная Актуальная Актуальная Высокая Актуальная Актуальная Актуальная Очень высокая Актуальная Актуальная Актуальная

Содержание:

Модели

Модель угроз («Базовая модель угроз безопасности ПДн во время их обработки в ИСПД») представляет собой автоматизированный перечень рисков с анализом первичных характеристик самой системы, указанием вероятных путей реализации рисков и типологией актуальности.

Угрозы от утечки по техническим каналам.

1.1. Угрозы утечки акустической информации

неактуальная

1.2. Угрозы утечки видовой информации

неактуальная

1.3. Угрозы утечки информации по каналам ПЭМИН

неактуальная

2. Угрозы несанкционированного доступа к информации.

2.1.

Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

неактуальная

2.1.2. Кража носителей информации

неактуальная

2.1.3.

Кража ключей и атрибутов доступа

неактуальная

2.1.4. Кражи, модификации, уничтожения информации

неактуальная

2.1.5.

Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

неактуальная

2.1.2. Кража носителей информации

неактуальная

2.1.3. Кража ключей и атрибутов доступа

неактуальная

2.1.4. Кражи, модификации, уничтожения информации

неактуальная

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

неактуальная

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

неактуальная

2.1.7. Несанкционированное отключение средств защиты

неактуальная

2.2.

Перечень возможных мероприятий представлен в Плане мероприятий по обеспечению защиты ПДн.

Обобщенный список актуальных угроз, а так же предлагаемых мер защиты, для разных типов ИСПДн представлен в таблицах 35-42.

Таблица 35 – Автономная ИСIтипа

Тип угроз безопасности ПДн

Опасность

угрозы

1. Угрозы от утечки по техническим каналам.

1.1. Угрозы утечки акустической информации

неактуальная

1.2. Угрозы утечки видовой информации

неактуальная

1.3. Угрозы утечки информации по каналам ПЭМИН

неактуальная

2. Угрозы несанкционированного доступа к информации.

2.1.

В России на законодательном уровне (Постановление Правительства РФ от 01.11.2012 №1119) в сфере защиты информации зафиксировано три вида актуальных угроз:

  • Актуальные, связанные с наличием недокументированных возможностей в программном обеспечении информационной системы.
  • Актуальные, связанные с наличием недокументированных возможностей в прикладном программном обеспечении информационной системы.
  • Актуальные, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении информационной системы.

Тип определяется в зависимости от комбинаций актуальности рисков в ИСПД. Самый высокий тип угроз – первый, самый низкий, соответственно, третий.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *