Модель угроз информационной безопасности ИСПДн
Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.
Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.
Как составить частную модель угроз безопасности информационной системы
На стадии моделирования проводится изучение и анализ существующей обстановки и выявляются актуальные угрозы безопасности ПДн в составе ИСПДн. Для каждой выявленной ИСПДн составляется своя модель угроз.
Модель угроз безопасности информационной системы строится в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Кроме того, могут использоваться методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».
Исходными данными для проведения оценки и анализа обычно служат материалы «Акта проверки», результаты анкетирования сотрудников различных подразделений и служб, методические документы ФСТЭК и т.д.
Частная модель угроз безопасности информационной системы должна быть утверждена руководителем организации или комиссией на основании отчета о результатах проведения внутренней проверки.
Модель угроз может разрабатываться ответственными за защиту персональных данных в организации или сторонними экспертами. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации.
Содержание модели угроз безопасности информационной системе
В модели угроз безопасности ИСПДн отражаются:
- Непосредственно сами угрозы безопасности персональных данных. При обработке персональных данных в ИСПДн можно выделить следующие угрозы: создаваемые нарушителем (физическим лицом), создаваемые аппаратной закладкой, создаваемые вредоносными программами, угрозы специальных воздействий на ИСПДн, угрозы электромагнитного воздействия на ИСПДн, угрозы утечки информации по техническим каналам и т.д.
- Источники угроз к ИСПДн. Возможными источниками угроз к ИСПДн могут быть: внешний нарушитель, внутренний нарушитель, программно-аппаратная закладка либо вредоносная программа.
- Общая характеристика уязвимостей ИСПДн. В ней содержится информация об основных группах уязвимостей ИСПДн и их характеристиках, а также информация о причинах возникновения уязвимостей.
- Используемые средства защиты информации. Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз.
Чтобы скачать частную модель угроз безопасности информационной системы для конкретного предприятия, ответьте на уточняющие вопросы и внесите данные в шаблон.
С этим шаблоном часто используют:
| (Полное наименование оператора) | ||||||||||||||||||
| "УТВЕРЖДЕНО" | |||||||
| (должность) | (личная подпись) | (расшифровка подписи) | |||||
| № | |||||||
Частная модель
угроз безопасности персональных данных
при их обработке в ИСПДн АСУ
Введение
Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и должна опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.
Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.
На стадии моделирования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн.
Модель угроз построена в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», Постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
А также методическими документами ФСТЭК России:
- «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»
- «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»
Исходные данные
Исходными данными для проведения оценки и анализа служат:
- материалы «Акта проверки»;
- результаты анкетирования сотрудников различных подразделений и служб;
- методические документы ФСТЭК;
- требования постановления правительства;
- .
Описание подхода к моделированию угроз безопасности ПДн
Модель угроз безопасности разработана на основе методических документов ФСТЭК:
На основе «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» проведена классификация угроз безопасности и составлен перечень угроз безопасности.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» построена модель угроз безопасности ПДн в составе ИСПДн АСУ и выявлены актуальные угрозы.
Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Модель угроз
Классификация угроз безопасности персональных данных
При обработке персональных данных в ИСПДн можно выделить следующие угрозы:
| № | Наименование угрозы | Описание угрозы | Вероятность наступления | Возможность реализации угрозы |
Источники угроз к ИСПДн
Источниками угроз в ИСПДн могут быть:
| № | Наименование источника угроз | Общая характеристика источника угроз |
Общая характеристика уязвимостей ИСПДн
Уязвимость ИСПДн – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которое может быть использовано для реализации угрозы безопасности персональных данных.
Причины возникновения уязвимостей:
К основным группам уязвимостей ИСПДн, относятся:
| Группа уязвимости ИСПДн | Характеристика уязвимостей |
Используемые средства защиты информации
Для обеспечения защиты информации используются следующие средства: .