Главная Обратная связь

Дисциплины:






Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн



Перечень обрабатываемых персональных данных.

При оформлении работника в Организацию работником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

В состав персональных данных, обрабатываемых в ИСПДн «Отдел кадров» входит:

- фамилия, имя, отчество;

- дата и место рождения;

- пол;

- индивидуальный номер налогоплательщика (далее ИНН);

- страховое свидетельство обязательного пенсионного страхования (далее СНИЛС);

- полис обязательного медицинского страхования;

- гражданство;

- паспортные данные;

- фотография;

- адрес регистрации;

- адрес фактического проживания;

- контактный номер телефона;

- сведения об образовании;

- трудовой стаж;

- сведения о семейном положении и составе семьи;

- сведения о родственниках (степень родства, фамилия, имя, отчество, дата и место рождения, место работы, место жительства);

- паспортные данные супруга (и);

- данные свидетельств о рождении детей;

- сведения о воинском учете, воинское звание, категория годности к военной службе и иные сведения, необходимые для передачи в военный комиссариат.

Персональные данные, отнесенные ФЗ «О персональных данных» к категории биометрических или специальных, в том числе данные о состоянии здоровья, в ИСПДн не обрабатываются.

 

Актуальные угрозы безопасности ПДн, обрабатываемых в ИСПДн.

В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», экспертным путём были определены характеристики исходной защищенности ИСПДн, которые сведены в таблицу 1 и имеют следующие значения:

Таблица 1.

Характеристика ИСПДн Значение характеристики Уровень защищенности
1. Территориальное размещение Локальная ИСПДн, развернутая в пределах одного здания высокий
2. Наличие соединения с сетями общего пользования (интернет) ИСПДн, имеющая одноточечный выход в сеть общего пользования средний
3. Встроенные операции с записями баз персональных данных Модификация, передача низкий
4. Разграничение доступа к персональным данным ИСПДн, к которой имеют доступ определенные перечнем сотрудники средний
5. Наличие соединений с другими базами ПДн иных ИСПДн ИСПДн, в которой используется одна база ПДн высокий
6. Обобщение (обезличивание) ПДн ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) низкий
7. Объем ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки ИСПДн, не предоставляющая никакой информации сторонним пользователям высокий

 



С учетом полученных уровней защиты ИСПДн следует, что более 70 % оценок имеют средний и высокий уровень исходной защищенности ИСПДн, что позволяет определить уровень исходной защищенности информационной системы персональных данных как «средний» с коэффициентом = 5.

При обработке ПДн на автоматизированном рабочем месте, имеющем подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: угрозы утечки информации по техническим каналам; угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте.

При составлении перечня актуальных угроз безопасности персональных данных каждой градации вероятности возникновения угрозы ставился в соответствие числовой коэффициент , а именно:

для маловероятной угрозы - 0;

для низкой вероятности угрозы - 2;

для средней вероятности угрозы - 5;

для высокой вероятности угрозы - 10,

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии возможности реализации данной угрозы, которая определена по формуле:

Y= (Y1+ Y2)/20

По значению коэффициента реализуемости угрозы Y была сформирована вербальная интерпретация реализуемости угрозы, которая отражается следующим образом:

если , то возможность реализации угрозы признается низкой;

если , то возможность реализации угрозы признается средней;

если , то возможность реализации угрозы признается высокой;

если , то возможность реализации угрозы признается очень высокой.

В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» после определения коэффициентов реализуемости угрозы на основе мнения экспертов по каждой угрозе была определена опасность её реализации по трём значениям:

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Данные показатели занесены в таблице 2.

С учётом совокупности всех показателей и оценок угроз безопасности ИСПДн, в соответствии с методикой ФСТЭК РФ, была осуществлена оценка актуальности возможных угроз.

 

 

Таблица 2.

Угрозы ИСПДн Y2 Коэфф. реализу­емо­сти угрозы Y Реализуем-ость угрозы Опасность угрозы Статус  
  Угрозы утечки информации по техническим каналам    
угрозы утечки акустической (речевой) информации 0,25 Низкая Низкая опасность Неактуальная  
угрозы утечки визуальной информации 0,25 Низкая Низкая опасность Неактуальная  
угрозы утечки информации по каналу ПЭМИН 0,25 Низкая Низкая опасность Неактуальная  
  Угрозы НСД к персональным данным    
  Угрозы непосредственного доступа            
угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой 0,25 Низкая Средняя опасность Неактуальная  
угрозы, реализуемые после загрузки операционной системы и направленные на осуществление несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.) 0,5 Средняя Средняя опасность Актуальная  
угрозы внедрения вредоносных программ 0,5 Средняя Средняя опасность Актуальная  
  Угрозы удаленного доступа    
угрозы "анализа сетевого трафика" с перехватом информации, передаваемой по локальной сети, а также во внешние сети и принимаемой из внешних сетей 0,25 Низкая Средняя опасность Неактуальная  
угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.; 0,25 Низкая Средняя опасность Неактуальная  
угрозы получения НСД путем подмены доверенного объекта; 0,25 Низкая Низкая опасность Неактуальная  
угрозы выявления паролей 0,25 Низкая Средняя опасность Неактуальная  
угрозы типа "отказ в обслуживании" 0,5 Средняя Средняя опасность Актуальная  
угрозы удалённого запуска приложений 0,25 Низкая Низкая опасность Неактуальная  
угрозы внедрения по сети вредоносных программ. 0,5 Средняя Средняя опасность Актуальная  
угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации; 0,5 Средняя Средняя опасность Актуальная  
угрозы сканирования, направленные на выявление типа ОС ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.; 0,5 Средняя Средняя опасность Актуальная  

 

Уровень защищенности персональных данных — это комплексный показатель, который характеризует выполнение требований, нейтрализующих угрозы безопасности информационных систем персональных данных.

 





sdamzavas.net - 2020 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...