Лекции.Орг


Поиск:

Рекомендуем:

Почему я выбрал профессую экономиста

Почему одни успешнее, чем другие

Периферийные устройства ЭВМ

Нейроглия (или проще глия, глиальные клетки)

Категории:

Астрономия
Биология
География
Другие языки
Интернет
Информатика
История
Культура
Литература
Логика
Математика
Медицина
Механика
Охрана труда
Педагогика
Политика
Право
Психология
Религия
Риторика
Социология
Спорт
Строительство
Технология
Транспорт
Физика
Философия
Финансы
Химия
Экология
Экономика
Электроника

 

 

 

 
Главная
О нас
Популярное
ТОП
Новые страницы
Случайная страница
Контакты
FAQ
ЗАКАЗАТЬ РАБОТУ

Модель вероятного нарушителя безопасности ИСПДн.

ПРАКТИЧЕСКОЕ ЗАНЯТИЕ №1.

ОПРЕДЕЛЕНИЯ ПЕРЕЧНЯ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ.

Цель и содержание

Данное практическое задание предполагает использование документа «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008 г.»

Теоретическое обоснование

Нормативно-правовые документы:

1. Сайт федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. URL:https://rkn.gov.ru/personal-data/

2. Федеральный закон от 01 июля 2011 г. № 261-ФЗ «О внесении изменений в ФЗ «О персональных данных».

3. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

4. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

5. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК России 15 февраля 2008 г.)

6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. Федеральной службой по техническому и экспортному контролю 14 февраля 2008 г.)

 

7. Приказ ФСБ России от 10 июля 2014 г. № 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при

их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения

установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности"

Модель вероятного нарушителя безопасности ИСПДн.

По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

2.1.2 Внешние нарушители.

В роли внешних нарушителей информационной безопасности могут выступать лица, описанные в таблице 1.

Таблица 1.

Категория нарушителя Описание категории нарушителя
Лица, не имеющие санкционированного доступа к ИСПДн - физические лица - организации (в том числе конкурирующие) - криминальные группировки

2.1.3 Внутренние нарушители.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

Под внутренним нарушителем информационной безопасности рассматривается нарушитель, имеющий непосредственный доступ к каналам связи, техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны, на территории Российской федерации.

К внутренним нарушителям могут относиться лица, описанные в таблице 2.

Таблица 2.

Катего- рия наруши- теля Перечень лиц Описание категории нарушителя
1 Работники предприятия, не имеющие санкционированного доступа к ИСПДн
  • имеет доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
  • располагает фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
  • располагает именами и возможностью выявления паролей зарегистрированных пользователей;
  • изменяет конфигурацию технических средств ИСПДн, вносит в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.
2 Пользователи ИСПДн
  • обладает всеми возможностями лиц первой категории;
  • знает, по меньшей мере, одно легальное имя доступа;
  • обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
  • располагает конфиденциальными данными, к которым имеет доступ.
3 Администраторы ППО ИСПДн
  • Обладает всеми возможностями лиц первой и второй категорий;
  • располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн;
  • имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.
4 Администраторы локальной сети
  • Обладает всеми возможностями лиц предыдущих категорий;
  • обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;
  • обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;
  • имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;
  • имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;
  • обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.
5 Зарегистрированные пользователи с полномочиями системного администратора ИСПДн Администраторы информационной безопасности
  • Обладает всеми возможностями лиц предыдущих категорий;
  • обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
  • обладает полной информацией о технических средствах и конфигурации ИСПДн;
  • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
  • обладает правами конфигурирования и административной настройки технических средств ИСПДн
6 Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн
  • обладает всеми возможностями лиц предыдущих категорий;
  • обладает полной информацией об ИСПДн;
  • имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
  • не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
7 Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте
  • обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
  • обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
  • может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
8 Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн
  • обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;
  • может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.

 

<== предыдущая лекция | следующая лекция ==>
Порядок и критерии отбора победителей конкурса | Методика и порядок выполнения работы.
Поделиться с друзьями:

Дата добавления: 2018-11-11; Мы поможем в написании ваших работ!; просмотров: 215 | Нарушение авторских прав

Поиск на сайте:

Лучшие изречения:

Надо любить жизнь больше, чем смысл жизни. © Федор Достоевский
==> читать все изречения...

2357 - | 2039 -


© 2015-2025 lektsii.org - Контакты - Последнее добавление

Ген: 0.013 с.