Подсистема защиты персональных данных АИС ООО "Бюро технологий"
Характеристика комплекса технических средств сбора, регистрации, передачи, обработки персональных данных в компании. Структура информационного взаимодействия в ООО "Бюро технологий". Угрозы несанкционированного доступа к информации, выбор средств защиты.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | отчет по практике |
| Язык | русский |
| Дата добавления | 02.03.2013 |
| Размер файла | 3,8 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
угрозы внедрения по сети вредоносных программ.
Угрозы НСД связаны с действиями нарушителей, рассмотренных выше, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн (внутренний нарушитель), а так же нарушителями, не имеющими непосредственного доступа к ИСПДн (внешний нарушитель).
Определение уровня исходной защищенности ИСПДн.
Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y1).
Исходная степень защищенности определяется следующим образом.
(Y1=0). ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения но первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).
(Y1=5). ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.
(Y1=10). ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.
Таблица 4. Характеристики ИСПДн, определяющие исходный уровень защищенности
|
Технические и эксплуатационные характеристики ИСПДн |
Выбор характеристики (поставить "1") |
Уровень защищенности |
||||
|
Высокий |
Средний |
Низкий |
||||
|
1. По территориальному размещению: |
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; |
|
- |
- |
+ |
|
|
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); |
|
- |
- |
+ |
||
|
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; |
|
- |
+ |
- |
||
|
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; |
|
- |
+ |
- |
||
|
локальная ИСПДн, развернутая в пределах одного здания |
1 |
+ |
- |
- |
||
|
2. По наличию соединения с сетями общего пользования: |
ИСПДн, имеющая многоточечный выход в сеть общего пользования; |
|
- |
- |
+ |
|
|
ИСПДн, имеющая одноточечный выход в сеть общего пользования; |
1 |
- |
+ |
- |
||
|
ИСПДн, физически отделенная от сети общего пользования |
|
+ |
- |
- |
||
|
3. По встроенным (легальным) операциям с записями баз персональных данных: |
чтение, поиск; |
|
+ |
- |
- |
|
|
запись, удаление, сортировка; |
1 |
- |
+ |
- |
||
|
модификация, передача |
|
- |
- |
+ |
||
|
4. По разграничению доступа к персональным данным: |
ИСПДн, к которой имеют доступ определенные переченем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
|
- |
+ |
- |
|
|
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; |
1 |
- |
- |
+ |
||
|
ИСПДн с открытым доступом |
|
- |
- |
+ |
||
|
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); |
|
- |
- |
+ |
|
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн |
1 |
+ |
- |
- |
||
|
6. По уровню обобщения (обезличивания) ПДн: |
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); |
|
+ |
- |
- |
|
|
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; |
1 |
- |
+ |
- |
||
|
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн) |
|
- |
- |
+ |
||
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: |
ИСПДн, предоставляющая всю базу данных с ПДн; |
|
- |
- |
+ |
|
|
ИСПДн, предоставляющая часть ПДн; |
|
- |
+ |
- |
||
|
ИСПДн, не предоставляющая никакой информации. |
1 |
+ |
- |
- |
В соответствии с таблицей 2, не менее 70% характеристик ИСПДн сотрудников ООО «Бюро технологий» соответствуют уровню не ниже "средний", следовательно ИСПДн имеет средний уровень исходной защищенности и Y1=5.
Определение вероятности реализации угроз в ИСПДн и Определение возможности реализации угрозы в ИСПДн АС.
Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Вероятность (Y2 ) определяется по 4 вербальным градациям этого показателя:
маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0);
низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2);
средняя вероятность - объектные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5);
высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10).
Оценка вероятности реализации угрозы безопасности различными категориями нарушителей для рассматриваемой ИСПДн приведена в таблице 3. Притом итоговая оценка реализации определенной угрозы рассчитывается исходя из максимального показателя для какого-либо нарушителя.
По итогам оценки уровня исходной защищенности (Y1 ) и вероятности реализации угрозы (Y2 ), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (Таблица 4). Коэффициент реализуемости угрозы рассчитывается по формуле: Y=(Y1+Y2)/20, причем:
если , то возможность реализации угрозы признается низкой;
если , то возможность реализации угрозы признается средней;
если , то возможность реализации угрозы признается высокой;
если , то возможность реализации угрозы признается очень высокой.
Оценка опасности угроз в ИСПДн АС
Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет 3 значения:
низкая опасности - если реализация угрозы может привести к незначительны негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Оценка опасности приведена в таблице 3.
Перечень актуальных угроз безопасности ПДн в ИСПДн АС
В соответствии с правилами отнесения угрозы безопасности к актуальной, для ИСПДн работников ООО «Бюро технологий» существуют следующие актуальные угрозы (таблица 4). Отнесение угрозы к актуальной производится по правилам, приведенным в таблице3.
Таблица 3
|
Возможность реализации угрозы |
Показатель опасности угрозы |
|||
|
Низкая |
Средняя |
Высокая |
||
|
Низкая |
неактуальная |
неактуальная |
актуальная |
|
|
Средняя |
неактуальная |
актуальная |
актуальная |
|
|
Высокая |
актуальная |
актуальная |
актуальная |
|
Таблица 5 |
||||||||||
|
Наименование угрозы |
Вероятность реализации угрозы |
коэффициент реализуемости угрозы |
возможность реализации угрозы |
опасность каждой угрозы |
АКТУАЛЬ-НОСТЬ |
Меры по противодействию угрозы |
||||
|
Технические |
Организаци-онные |
|||||||||
|
1.Угрозы от утечки по техническим каналам |
Угрозы утечки видовой информации |
Просмотр информации на дисплее сотрудниками, не допущенными к обработке персональных данных |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|
|
Просмотр информации на дисплее посторонними лица, находящимися в помещении в котором ведется обработка персональных данных |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Просмотр информации на дисплее посторонними лица, находящимися за пределами помещения в котором ведется обработка персональных данных |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Просмотр информации с помощью специальных электронных устройств внедренных в помещении в котором ведется обработка персональных данных |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Угрозы утечки информации по каналам ПЭМИН |
Утечка информации по сетям электропитания |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
||
|
Утечка за счет наводок на линии связи, технические средства расположенные в помещении и системы коммуникаций |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Побочные излучения технический средств |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Утечки за счет, электромагнитного воздействия на технические средства |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
2. Угрозы несанкционированного доступа к информации |
Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
Кража ПЭВМ |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Охранная сигнализация Жалюзи на окна Металлическая дверь Шифрование данных |
Охрана по вызову. Акт установки средств защиты |
|
|
Кража носителей информации |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Охранная сигнализация. Отдельное помещение. |
Акт установки средств защиты |
|||
|
Кража ключей доступа |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Хранение у ответственного лица |
Акт установки средств защиты. |
|||
|
Кражи, модификации, уничтожения информации. |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Охранная сигнализация. Жалюзи на окна. Металлическая дверь. |
Инструкция пользователя. |
|||
|
Вывод из строя узлов ПЭВМ, каналов связи |
5 |
0,5 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Охранная сигнализация. Жалюзи на окна. Металлическая дверь. |
Охрана. |
|||
|
Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ |
0 |
0,25 |
низкая |
СРЕДНЯЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Несанкционированное отключение средств защиты |
0 |
0,25 |
низкая |
СРЕДНЯЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
2. Угрозы несанкционированного доступа к информации |
Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий); |
Компьютерные вирусы |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|
|
Недекларированные возможности системного ПО и ПО для обработки персональных данных |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Установка ПО не связанного с исполнением служебных обязанностей |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
Настройка средств защиты |
Инструкция пользователя. Инструкция ответственного. |
|||
|
Наличие аппаратных закладок в приобретаемых ПЭВМ |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Внедрение аппаратных закладок посторонними лицами после начала эксплуатации ИСПДн |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Внедрение аппаратных закладок сотрудниками организации |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Внедрение аппаратных закладок обслуживающим персоналом (ремонтными организациями) |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера. |
Утрата ключей доступа |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
||
|
Непреднамеренная модификация (уничтожение) информации сотрудниками |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Непреднамеренное отключение средств защиты |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Выход из строя аппаратно-программных средств |
5 |
0,5 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
|
Резервное копирование |
|||
|
Сбой системы электроснабжения |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Стихийное бедствие |
2 |
0,35 |
средняя |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
|||
|
Угрозы преднамеренных действий внутренних нарушителей |
Доступ к информации, модификация, уничтожение лицами не допущенными к ее обработке |
0 |
0,25 |
низкая |
СРЕДНЯЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
||
|
Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке |
2 |
0,35 |
средняя |
СРЕДНЯЯ ОПАСНОСТЬ |
АКТУАЛЬНАЯ |
|
Договор о не разглашении. Инструкция пользователя |
|||
|
Угрозы несанкционированного доступа по каналам связи |
Несанкционированный доступ через сети международного обмена |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
||
|
Несанкционированный доступ через ЛВС организации |
0 |
0,25 |
низкая |
НИЗКАЯ ОПАСНОСТЬ |
НЕАКТУАЛЬНАЯ |
- |
- |
Размещено на www.allbest.
Подобные документы
Описание основных технических решений по оснащению информационной системы персональных данных, расположенной в помещении компьютерного класса. Подсистема антивирусной защиты. Мероприятия по подготовке к вводу в действие средств защиты информации.
курсовая работа [63,4 K], добавлен 30.09.2013Технологии защиты персональных данных и их применение. Юридический аспект защиты персональных данных в России. Описание результатов опроса среди рядовых российских пользователей. Прогноз развития технологий в связи с аспектом защиты персональных данных.
дипломная работа [149,6 K], добавлен 03.07.2017Основы безопасности персональных данных. Классификация угроз информационной безопасности персональных данных, характеристика их источников. Базы персональных данных. Контроль и управление доступом. Разработка мер защиты персональных данных в банке.
дипломная работа [3,2 M], добавлен 23.03.2018Законодательные основы защиты персональных данных. Классификация угроз информационной безопасности. База персональных данных. Устройство и угрозы ЛВС предприятия. Основные программные и аппаратные средства защиты ПЭВМ. Базовая политика безопасности.
дипломная работа [2,5 M], добавлен 10.06.2011Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Анализ структуры распределенной информационной системы и обрабатываемых в ней персональных данных. Выбор основных мер и средств для обеспечения безопасности персональных данных от актуальных угроз. Определение затрат на создание и поддержку проекта.
дипломная работа [5,3 M], добавлен 01.07.2011Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Актуальность защиты информации и персональных данных. Постановка задачи на проектирование. Базовая модель угроз персональных данных, обрабатываемых в информационных системах. Алгоритм и блок-схема работы программы, реализующей метод LSB в BMP-файлах.
курсовая работа [449,5 K], добавлен 17.12.2015Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Характеристика основных способов защиты от несанкционированного доступа. Разработка политики безопасности системы. Проектирование программного обеспечения применения некоторых средств защиты информации в ОС. Содержание основных разделов реестра.
лабораторная работа [1,9 M], добавлен 17.03.2017
