Выберите субъект РФ
Все субъекты РФ

Алтайский край
Амурская область
Архангельская область
Астраханская область
Байконур
Белгородская область
Брянская область
Владимирская область
Волгоградская область
Вологодская область
Воронежская область
Еврейская автономная область
Забайкальский край
Ивановская область
Иркутская область
Кабардино-Балкарская Республика
Калининградская область
Калужская область
Камчатский край
Карачаево-Черкесская Республика
Кемеровская область
Кировская область
Костромская область
Краснодарский край
Красноярский край
Курганская область
Курская область
Ленинградская область
Липецкая область
Магаданская область
Москва
Московская область
Мурманская область
Ненецкий автономный округ
Нижегородская область
Новгородская область
Новосибирская область
Омская область
Оренбургская область
Орловская область
Пензенская область
Пермский край
Приморский край
Псковская область
Республика Адыгея
Республика Алтай
Республика Башкортостан
Республика Бурятия
Республика Дагестан
Республика Ингушетия
Республика Калмыкия
Республика Карелия
Республика Коми
Республика Крым
Республика Марий Эл
Республика Мордовия
Республика Саха (Якутия)
Республика Северная Осетия - Алания
Республика Татарстан
Республика Тыва
Республика Хакасия
Ростовская область
Рязанская область
Самарская область
Санкт-Петербург
Саратовская область
Сахалинская область
Свердловская область
Севастополь
Смоленская область
Ставропольский край
Тамбовская область
Тверская область
Томская область
Тульская область
Тюменская область
Удмуртская Республика
Ульяновская область
Хабаровский край
Ханты-Мансийский автономный округ - Югра
Челябинская область
Чеченская Республика
Чувашская Республика
Чукотский автономный округ
Ямало-Ненецкий автономный округ
Ярославская область

Данная функция доступна только для зарегистрированных пользователей.


Если вы являетесь зарегистрированным пользователем, пожалуйста, авторизуйтесь.
Если нет – оформите доступ к любому каталогу нашей системы.

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости


Приложение 6. Обобщенная модель угроз для Автономной ИС VI типа

Редакция на дату:

Приложение 6

Исходный класс защищенности – средний.

Таблица 50

Наименование угрозы

Вероятность реализации угрозы (Y2)

Возможность реализации угрозы (Y)

Опасность угрозы

Актуальность угрозы

Меры по противодействию угрозе

Технические

Организационные

1. Угрозы от утечки по техническим каналам

1.1. Угрозы утечки акустической информации

Маловероятно

Низкая

Низкая

Неактуальная

Виброгенераторы, генераторы шумов, звукоизоляция.

Инструкция пользователя

Технологический процесс

1.2. Угрозы утечки видовой информации

Маловероятно

Низкая

Низкая

Неактуальная

Жалюзи на окна

Пропускной режим

Инструкция пользователя

1.3. Угрозы утечки информации по каналам ПЭМИН

Маловероятно

Низкая

Низкая

Неактуальная

Генераторы пространственного зашумления

Технологический процесс обработки

Генератор шума по цепи электропитания

Контур заземления

2. Угрозы несанкционированного доступа к информации

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

Маловероятно

Низкая

Низкая

Неактуальная

Охранная сигнализация

Пропускной режим

Решетки на окна

Охрана

Металлическая дверь

Акт установки средств защиты

Кодовый замок

Шифрование данных

2.1.2. Кража носителей информации

Маловероятно

Низкая

Низкая

Неактуальная

Охранная сигнализация

Акт установки средств защиты

Хранение в сейфе

Учет носителей информации

Шифрование данных

2.1.3. Кража ключей доступа

Маловероятно

Низкая

Низкая

Неактуальная

Хранение в сейфе

Инструкция пользователя

2.1.4. Кражи, модификации, уничтожения информации.

Маловероятно

Низкая

Низкая

Неактуальная

Охранная сигнализация

Акт установки средств защиты

Решетки на окна

Металлическая дверь

Кодовый замок

Шифрование данных

Система защиты от НСД

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

Маловероятно

Низкая

Низкая

Неактуальная

Охранная сигнализация

Пропускной режим

Решетки на окна

Охрана

Металлическая дверь

Кодовый замок

2.1.6. Несанкционированное отключение средств защиты

Маловероятно

Низкая

Низкая

Неактуальная

Настройка средств защиты

Инструкция администратора безопасности

Технологический процесс обработки

Акт установки средств защиты

2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий);

2.2.1. Действия вредоносных программ (вирусов)

Низкая

Средняя

Средняя

Актуальная

Антивирусное ПО

Инструкция пользователя

Инструкция ответственного

Инструкция администратора безопасности

Технологический процесс обработки

Инструкция по антивирусной защите

Акт установки средств защиты

2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных

Маловероятно

Низкая

Низкая

Неактуальная

Сертификация

2.2.3. Установка ПО не связанного с исполнением служебных обязанностей

Маловероятно

Низкая

Низкая

Неактуальная

Настройка средств защиты

Инструкция пользователя

Инструкция ответственного

2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т. п.) характера.

2.3.1. Утрата ключей и атрибутов доступа

Низкая

Средняя

Средняя

Актуальная

Инструкция пользователя

Инструкция администратора безопасности

2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

Маловероятно

Низкая

Низкая

Неактуальная

Настройка средств защиты

Резервное копирование

2.3.3. Непреднамеренное отключение средств защиты

Маловероятно

Низкая

Низкая

Неактуальная

Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности

Инструкция пользователя

Инструкция администратора безопасности

2.3.4. Выход из строя аппаратно-программных средств

Маловероятно

Низкая

Низкая

Неактуальная

Резервирование

2.3.5. Сбой системы электроснабжения

Маловероятно

Низкая

Низкая

Неактуальная

Использование источника бесперебойного электропитания

Резервное копирование

2.3.6. Стихийное бедствие

Маловероятно

Низкая

Низкая

Неактуальная

Пожарная сигнализация

2.4. Угрозы преднамеренных действий внутренних нарушителей

2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенных к ее обработке

Маловероятно

Низкая

Низкая

Неактуальная

Система защиты от НСД

Акт установки средств защиты

Разрешительная система допуска

Технологический процесс обработки

2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

Низкая

Средняя

Низкая

Неактуальная

Договор о неразглашении

Инструкция пользователя

2.5. Угрозы несанкционированного доступа по каналам связи

2.5.1. Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

2.5.1.1. Перехват за переделами с контролируемой зоны;

Низкая

Средняя

Низкая

Неактуальная

Шифрование

Технологический процесс

2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями;

Маловероятно

Низкая

Низкая

Неактуальная

Шифрование

Пропускной режим

Физическая защита канала связи

Технологический процесс

2.5.1.3. Перехват в пределах контролируемой зоны внутренними нарушителями.

Маловероятно

Низкая

Низкая

Неактуальная

Шифрование

Технологический

Физическая защита канала связи

процесс

2.5.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

Маловероятно

Низкая

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.3. Угрозы выявления паролей по сети.

Низкая

Средняя

Средняя

Актуальная

Межсетевой экран

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.4. Угрозы навязывания ложного маршрута сети.

Маловероятно

Низкая

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.5. Угрозы подмены доверенного объекта в сети.

Маловероятно

Низкая

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.6. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях.

Маловероятно

Низкая

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.7. Угрозы типа «Отказ в обслуживании».

Маловероятно

Низкая

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Антивирусное ПО

Инструкция пользователя

Инструкция администратора безопасности

Резервирование

2.5.8. Угрозы удаленного запуска приложений.

Низкая

Средняя

Низкая

Неактуальная

Межсетевой экран

Технологический процесс

Антивирусное ПО

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

2.5.9. Угрозы внедрения по сети вредоносных программ.

Низкая

Средняя

Средняя

Актуальная

Антивирусное ПО

Технологический процесс

Инструкция пользователя

Инструкция администратора безопасности

Акт установки средств защиты

Таким образом, актуальными угрозами безопасности ПДн в Автономной ИС VI типа, являются:

– угрозы от действий вредоносных программ (вирусов);

– угрозы утраты ключей и атрибутов доступа;

– угрозы выявления паролей по сети;

– угрозы внедрения по сети вредоносных программ.

Рекомендуемыми мерами по предотвращению реализации актуальных угроз, являются:

– установка антивирусной защиты;

– парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

– назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

– инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а также с ключами и атрибутами доступа;

– убрать подключение элементов ИСПДн к сетям общего пользования и (или) международного обмена (сеть Интернет), если это не требуется для функционирования ИСПДн.

Справка
Регистрация нового пользователя
Логин (мин. 3 символа)
Пароль (мин. 6 символов)
Подтверждение пароля
Адрес e-mail
На указанный в форме e-mail придет запрос на подтверждение регистрации.
Телефон
У Вас появится персональный менеджер.
Кодовое слово

Если у Вас уже есть логин и пароль - авторизуйтесь

* Нажимая на кнопку «Регистрация», я даю согласие на обработку персональных данных