Юридическая консультация онлайн
Главная» Как защитить информацию» Защита персональных данных»Разработка модели угроз безопасности персональных данных

Разработка модели угроз безопасности персональных данных

Можно скачать этот документ в формате MS Word. Скачивание доступно только зарегистрированным пользователям.

Модель УБПДн при их обработке в ИСПДн определяет перечень актуальных УБПДн, позволяет выявить маловероятные УБПДн, что дает возможность существенно снизить затраты на реализацию механизмов за­щиты ПДн на дальнейших этапах работ и разрабатывается в соответствии с методическими документами ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информацион­ных системах персональных данных» и в случае, когда для обеспечения безопасности ПДн используются СКЗИ, ФСБ России «Методические ре­комендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».

В соответствии с п. 2.4. Методических рекомендации по обеспече­нию с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с ис­пользованием средств автоматизации:

«В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз использу­ются методические документы ФСТЭК России.

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России.

Частная модель УБПДн при их обработке в ИСПДн зависит от используемых технологических решений (однопользовательский (многопользовательский) режим работы, подключение к ЛВС, подключение к сети международного обмена Интернет, использование технологии уда­ленного доступа) и от функционального назначения конкретной ИСПДн.

Модель УБПДн составляется для каждой выявленной ИСПДн и оформляется в виде документа (Пример составления модели угроз).

Модель УБПДн при их обработке в ИСПДн должна:

  1. Утверждаться руководителем или начальником подразделения, ответственного за обеспечение безопасности ПДн.
  2. Содержать структуру ИСПДн, с указанием характеристик режима обработки ПДн (Подробно).
  3. Содержать перечень обрабатываемых ПДн.
  4. На основании состава ПДн содержать вывод о категории обрабатываемых ПДн.
  5. Содержать объем записей ПДн.
  6. Содержать конфигурацию ИСПДн - схематичное взаиморасполо­жение элементов ИСПДн.

При составлении конфигурации необходимо учесть следующие элементы:

  • группа пользователей ИСПДн;
  • АРМ пользователей ИСПДн;
  • сервер, например, почтовый, файловый, proxy сервер, сервер при­ложений, баз данных и другие;
  • МЭ;
  • сеть общего доступа и (или) международного обмена, например, Интернет.
  • Содержать в схематичном виде территориальное расположение ИСПДн относительно КЗ.
  • Содержать описание процесса обработки ПДн в ИСПДн.

Процесс обработки должна включать всю последовательность шагов по вводу ПДн, их обработке, передаче в другие ИСПДн и другим процессам.

Пример описания структуры ИСПДн:

  1. сотрудник отдела кадров авторизуется на своем рабочем месте в ОС Windows XP, рабочей группе, домене;
  2. сотрудник авторизуется в программном обеспечении автомати­зированной информационной системы «Кадры»;
  3. сотрудник вносит в программу данные из личного дела ра­ботника;
  4. данные хранятся на сервере MS SQL Server.
  5. Содержать поименный список сотрудников, участвующих в обра­ботке ПДн в ИСПДн.
  6. Содержать группы пользователей участвующие в обработке ПДн в ИСПДн. Для всех групп должен быть определен перечень прав и уровень доступа. Все это необходимо отразить в матрице доступа.

Пример матрицы доступа:

Группа

Уровень доступа к ПДн

Разрешенные действия

Сотрудники

Системные

администраторы

ИСПДн

Обладают полной информацией о системном и прикладном программном обеспечении ИСПДн.

Обладают полной информацией о технических средствах и конфигурации ИСПДн.

Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.

Обладают правами конфигурирования и административной настройки технических средств ИСПДн.

  • сбор
  • систематизация
  • накопление
  • хранение
  • уточнение
  • использование
  • уничтожение

 

Администраторы

безопасности

ИСПДн

Обладают правами администратора ИСПДн.

Обладают полной информацией об ИСПДн.

Имеют доступ к СЗИ, средствам

протоколирования и к части ключевых элементов ИСПДн.

Не имеют прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

  • сбор
  • систематизация
  • накопление
  • хранение
  • уточнение
  • использование
  • уничтожение
 

Ответственные за обеспечение безопасности ПДн

Обладают полной информацией об ИСПДн.

Не имеют прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

  • сбор
  • систематизация
  • накопление
  • хранение
  • уточнение
  • использование
  • уничтожение
 
Операторы ИСПДн с правами записи Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн.
  • сбор
  • систематизация
  • накопление
  • хранение
  • уточнение
  • использование
  • уничтожение
 
Операторы ИСПДн с правами чтения Обладают всеми необходимыми атрибутами и правами, обеспечивающими доступ ко всем ПДн. - использование  
  
  1. Содержать классификацию нарушителей.
  2. Содержать определение актуальности УБПДн при их обработке в ИСПДн на основании методического документа ФСТЭК России «Методи­ка определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
  3. Содержать необходимые меры по снижению опасности актуаль­ных УБПДн при их обработке в ИСПДн в виде перечня реализуемых орга­низационных и технических мероприятий.

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основании «Положения о методах и способах защиты информации в информационных системах персональных данных», утвер­жденным приказом директора ФСТЭК России от 5 февраля 2010 г. № 58 формулируются конкретные организационные, технические требования по защите ИСПДн от утечки информации по техническим каналам, от НСД и осуществляется выбор программных и технических СЗИ, которые должны быть внедрены при создании и дальнейшей эксплуатации ИСПДн.

Требования к защите, определенные для ИСПДн согласно частной модели УБПДн при их обработке в ИСПДн, сопоставляются и суммиру­ются с требованиями, определенными для нее согласно ее классу. При сопоставлении однотипных требований в качестве окончательного тре­бования выбирается более жесткое.

  1. Содержать сводную таблицу УБПДн при их обработке в ИСПДн.
  2. На основании полученных данных содержать заключение о классификации ИСПДн.

Пример заключения:

В соответствии с Порядком проведения классификации информа­ционных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональ­ных данных и в соответствии с моделью угроз безопасности персональ­ных данных информационная система персональных данных (указывается наименование ИСПДн) классифицируется, как типовая (специальная) ИСПДн ___ класса.

Комментарии к статье "Разработка модели угроз безопасности персональных данных"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?