Лекции.Орг


Поиск:

Рекомендуем:

Почему я выбрал профессую экономиста

Почему одни успешнее, чем другие

Периферийные устройства ЭВМ

Нейроглия (или проще глия, глиальные клетки)

Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 
Главная
О нас
Популярное
ТОП
Новые страницы
Случайная страница
Контакты
FAQ
ЗАКАЗАТЬ РАБОТУ

Предположения об имеющейся у нарушителя информации об объектах реализации угроз

1234Следующая ⇒



Структура ИСПДн

Таблица 1 – Параметры ИСПДн

 

Заданные характеристики безопасности персональных данных Специальная информационная система
Структура информационной системы Автоматизированное рабочее место
Подключение информационной системы к сетям общего пользования и (или) сетям международного информационного обмена Имеется
Режим обработки персональных данных Многопользовательская
Режим разграничения прав доступа пользователей Система с разграничением доступа
Местонахождение технических средств информационной системы Все технические средства находятся в пределах Российской Федерации
Дополнительные информация К персональным данным предъявляется требование целостности и (или) доступности

 

Состав и структура персональных данных

В ИСПДн обрабатываются следующие персональные данные:

- ФИО сотрудников;

- табельный номер;

- номера домашнего и мобильного телефонов;

- ФИО учащихся;

- дата рождения.

Исходя из состава обрабатываемых персональных данных, можно сделать вывод, что они относятся к 4 категории персональных данных, т.е. к данным, позволяющим идентифицировать субъекта персональных данных.

Объем обрабатываемых персональных данных, не превышает 1000 записей о субъектах персональных данных.

 

 

Структура обработки ПДн

В ИСПДн «Школьный офис» обработка персональных данных происходит следующим образом:

- сотрудник авторизуется на своем рабочем месте в ОС Microsoft Windows XP;

- сотрудник авторизуется в ПО «Школьный офис»;

- сотрудник вносит персональные данные об учащихся или о сотрудниках;

- данные хранятся в БД на АРМ.

Режим обработки ПДн

В ИСПДн «Школьный офис» обработка персональных данных осуществляется в однопользовательском режиме без разграничения прав доступа.

Режим обработки предусматривает следующие действия с персональными данными: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Все пользователи ИСПДн имеют собственные роли. Список типовых ролей представлен в таблице.

Таблица 2. Матрица доступа

 

Группа Уровень доступа к ПДн Разрешенные действия
Администраторы ИСПДн Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн.   Обладает полной информацией о технических средствах и конфигурации ИСПДн.   Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.   Обладает правами конфигурирования и административной настройки технических средств ИСПДн.   - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Администратор безопасности Обладает правами Администратора ИСПДн.   Обладает полной информацией об ИСПДн.   Имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн.   Не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).   - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Операторы ИСПДн с правами записи Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. - сбор - систематизация - накопление - хранение - уточнение - использование - уничтожение
Операторы ИСПДн с правами чтения Обладает всеми необходимыми атрибутами и правами, обеспечивающими доступ к подмножеству ПДн. - использование  

 

Классификация нарушителей

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители – физические лица, осуществляющие целенаправленное деструктивное воздействие, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

Внешний нарушитель

В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.

Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных утечку информации по техническим каналам утечки.

Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

Внутренний нарушитель

К такому виду нарушителя могут относиться (список лиц должен быть уточнен в соответствии с группами пользователей описанных в Политике информационной безопасности):

- пользователи ИСПДн, т.е. сотрудники, имеющие право доступа к ИСПДн (категория I);

- сотрудники, не имеющие права доступа к ИСПДн (категория II);

- администраторы ИСПДн (категория III);

- разработчики и поставщики программно-технических средств, расходных материалов, услуг(категория IV).

Возможности нарушителей существенным образом зависят от действующих в пределах контролируемой зоны ограничительных факторов, из которых основным является реализация комплекса организационно-технических мер, в том числе по подбору, расстановке и обеспечению высокой профессиональной подготовки кадров, допуску физических лиц внутрь контролируемой зоны и контролю за порядком проведения работ, направленных на предотвращение и пресечение несанкционированного доступа.

Лица категорий I и III (пользователи и администраторы ИСПДн) хорошо знакомы с основными алгоритмами, протоколами, реализуемыми и используемыми в конкретных подсистемах и ИСПДн в целом, а также с применяемыми принципами и концепциями безопасности.

Предполагается, что они могли бы использовать стандартное оборудование либо для идентификации уязвимостей, либо для реализации угроз ИБ. Данное оборудование может быть как частью штатных средств, так и может относиться к легко получаемому (например, программное обеспечение, полученное из общедоступных внешних источников).

Кроме того, предполагается, что эти лица могли бы располагать специализированным оборудованием.

К лицам данных категорий ввиду их исключительной роли в ИСПДн должен применяться комплекс особых организационно-режимных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения функциональных обязанностей.

 

Предположения об имеющейся у нарушителя информации об объектах реализации угроз

В качестве основных уровней знаний нарушителей об АС можно выделить следующие:

- общая информация – информации о назначения и общих характеристиках ИСПДн;

- эксплуатационная информация – информация, полученная из эксплуатационной документации;

- чувствительная информация – информация, дополняющая эксплуатационную информацию об ИСПДн (например, сведения из проектной документации ИСПДн).

В частности, нарушитель может иметь:

- данные об организации работы, структуре и используемых технических, программных и программно-технических средствах ИСПДн;

- сведения об информационных ресурсах ИСПДн: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков;

- данные об уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств ИСПДн;

- данные о реализованных в ПСЗИ принципах и алгоритмах;

- исходные тексты программного обеспечения ИСПДн;

- сведения о возможных каналах реализации угроз;

- информацию о способах реализации угроз.

Предполагается, что лица категории I (пользователи ИСПДн) владеют только эксплуатационной информацией, что обеспечивается организационными мерами.

Предполагается, что лица категории III (администраторы ИСПДн) обладают чувствительной информацией об ИСПДн и функционально ориентированных АИС, включая информацию об уязвимостях технических и программных средств ИСПДн.

Степень информированности нарушителя зависит от многих факторов, включая реализованные конкретные организационные меры и компетенцию нарушителей. Поэтому объективно оценить объем знаний вероятного нарушителя в общем случае практически невозможно.

В связи с изложенным, с целью создания определенного запаса прочности предполагается, что вероятные нарушители обладают всей информацией, необходимой для подготовки и реализации угроз, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.

1234Следующая ⇒


Поделиться с друзьями:

Дата добавления: 2016-11-23; Мы поможем в написании ваших работ!; просмотров: 9495 | Нарушение авторских прав

Поиск на сайте:

Лучшие изречения:

Ваше время ограничено, не тратьте его, живя чужой жизнью © Стив Джобс
==> читать все изречения...

4169 - | 4161 -


© 2015-2026 lektsii.org - Контакты - Последнее добавление

Ген: 0.011 с.