ОПЫТ РАЗРАБОТКИ ДОКУМЕНТАЦИИ СЗПДн. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн.

Содержание

Слайд 2

Требования к составу документации СЗПДн

Постановлением Правительства РФ от 17.11.2007 г. №

Требования к составу документации СЗПДн Постановлением Правительства РФ от 17.11.2007 г. №
781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в ИСПДн».
Документами уполномоченных федеральных органов:
✔ ФСБ России;
✔ ФСТЭК России.

Требования к составу документации СЗПДн, разрабатываемой оператором, устанавливаются:

Слайд 3

Перечень основной документации СЗПДн

Положение по организации и проведению работ по обеспечению

Перечень основной документации СЗПДн Положение по организации и проведению работ по обеспечению
безопасности ПДн при их обработке в ИСПДн.
Модель угроз безопасности персональных данных.
Акт классификации ИСПДн.
Требования по обеспечению безопасности ПДн при их обработке в ИСПДн.
Описание системы защиты персональных данных.
Перечень применяемых средств защиты информации.
Заключение о возможности эксплуатации средств защиты информации (разрабатывается по результатам проверки готовности к использованию СЗИ) (Приёмо-сдаточная документация на СЗИ).
Правила пользования средствами защиты информации.
Рекомендации (инструкции) по использованию программных и аппаратных средств защиты информации.
Список лиц, доступ которых к ПДн, обрабатываемым в ИС, необходим для выполнения служебных (трудовых) обязанностей (утверждается оператором или уполномоченным лицом).
Должностные инструкции персоналу в части обеспечения безопасности ПДн при их обработке в ИСПДн.

Слайд 4

Обязанности операторов
(Постановление Правительства РФ 2007 г. № 781)

Безопасность персональных данных при

Обязанности операторов (Постановление Правительства РФ 2007 г. № 781) Безопасность персональных данных
их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (уполномоченное лицо). (п. 10)

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:
а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз. (п. 12)

Слайд 5

Модель угроз - систематизированный перечень актуальных угроз безопасности ПДн при их обработке

Модель угроз - систематизированный перечень актуальных угроз безопасности ПДн при их обработке
в ИСПДн.

Что такое модель угроз?
(основные понятия)

Угрозы безопасности ПДн - совокупность условий факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при их обработке в ИСПДн.
Источник угрозы - субъект доступа, территориальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.
Нарушитель безопасности ПДн - физическое лицо случайно или преднамеренно совершающее действия, следствием которого является нарушение безопасности ПДн при их обработке техническими средствами в ИСПДн.
Уязвимость ИСПДн - недостаток ИСПДн, предоставляющий возможность реализации угроз безоп-ти обрабатываемых в ней ПДн.
ИСПДн - ИС, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и ТС, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Слайд 6

Зачем нужна модель угроз?

Выявление и учёт угроз безопасности ПДн в

Зачем нужна модель угроз? Выявление и учёт угроз безопасности ПДн в конкретных
конкретных условиях составляет основу для планирования и осуществления мероприятий, направленных на обеспечение безопасности ПДн при их обработке в ИСПДн, в том числе позволяет обеспечить:
Формирование обоснованных требований по защите ПД при их обработке в ИСПДн.
Реализацию дифференцированного подхода к обеспечению безопасности ПДн с целью минимизации затрат на защиту ИСПДн.

Слайд 7

Содержит общее системное изложение вероятных угроз безопасности ПД при их обработке в

Содержит общее системное изложение вероятных угроз безопасности ПД при их обработке в
ИСПДн.
Предназначена для использования при разработке моделей угроз для конкретных ИСПДн.

Нормативные документы

Определяет порядок моделирования угроз безопасности ПД при их обработке в ИС и выявления актуальных угроз (на основе экспертного анализа).
Результаты определения актуальных угроз используются для определения конкретных организационно-технических требований по защите ИСПДн и для выбора СЗИ.

2. Методика определения угроз безопасности ПДн при их обработке в ИСПДн

1. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн

Слайд 8

Предметная область модели угроз

Предметная область модели угроз

Слайд 9

Угрозы, связанные с НСД (угрозы НСД в ИСПДн), представляются в виде совокупности

Угрозы, связанные с НСД (угрозы НСД в ИСПДн), представляются в виде совокупности
обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации) и возможных деструктивных действий.

Угрозы безопасности ПДн

Угроза НСД описывается следующей формализованной записью:
<источник угрозы>, <уязвимость программного и аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <несанкционированный доступ>.

Угрозы безопасности ПД могут быть реализованы за счёт:
✓ несанкционированного доступа к базам данных;
✓ утечки ПД по техническим каналам.

Угрозы, связанные с НСД

Слайд 10

Логическая взаимосвязь составных элементов угрозы

Логическая взаимосвязь составных элементов угрозы

Слайд 11

Основные угрозы НСД и возможные последствия их реализации

Основные угрозы НСД и возможные последствия их реализации

Слайд 13

угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналам

угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации
ПЭМИН.
Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн и описываются следующим образом:
<источник угрозы (приемник информативного сигнала)>, <среда (путь) распространения информационного сигнала>, <источник (носитель) ПДн>.

Угрозы утечки ПДн по техническим каналам

Слайд 14

Исходные данные для определения актуальных угроз:
✓ перечень источников угроз (формируется на

Исходные данные для определения актуальных угроз: ✓ перечень источников угроз (формируется на
основе опроса);
✓ перечень уязвимых звеньев ИС (формируется на основе опроса и/или сетевого сканирования);
✓ перечень технических каналов утечки (формируется на основе обследования ИС).

Порядок моделирование угроз безопасности ПДн (1)

Слайд 15

Определение актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы:

оценка (на основе

Определение актуальных угроз безопасности ПД в ИСПДн предусматривает следующие этапы: оценка (на
опроса и анализа) уровня исходной защищённости ИС ПД (- высокий, средний, низкий); (определение коэффициента Y1).
экспертная оценка частоты (вероятности) реализации угрозы (маловероятная, низкая, средняя, высокая) (определение коэффициента Y2).
расчёт коэффициента реализуемости угрозы: Y= Y1+ Y2
формирование вербальной интерпретации угрозы по значению Y;
экспертная оценка опасности угрозы (низкая, средняя, высокая)

Порядок моделирования угроз безопасности ПДн (2)

Слайд 16

определение актуальных угроз осуществляется путём исключения неактуальных угроз по правилам, приведённым в

определение актуальных угроз осуществляется путём исключения неактуальных угроз по правилам, приведённым в
таблице:

Порядок моделирования угроз безопасности ПДн (3)

Слайд 17

Пример оценки актуальности угроз

Пример оценки актуальности угроз

Слайд 18

1. Введение
2. Описание ИСПДн.
2.1. Назначение ИСПДн.
2.2. Общая характеристика ИСПДн.
2.3.

1. Введение 2. Описание ИСПДн. 2.1. Назначение ИСПДн. 2.2. Общая характеристика ИСПДн.
Описание технологии обработки ПДн в ИСПДн.
3. Перечень угроз безопасности информации с указанием их актуальности.
4. Описание возможных последствий реализации угроз (для основных угроз).

Рекомендуемая структура модели угроз безопасности ПДн

Имя файла: ОПЫТ-РАЗРАБОТКИ-ДОКУМЕНТАЦИИ-СЗПДн.-МОДЕЛЬ-УГРОЗ-БЕЗОПАСНОСТИ-ПДн..pptx
Количество просмотров: 257
Количество скачиваний: 1