Главная - Страхование (КАСКО, ОСАГО) - Базовая модель угроз безопасности персональных данных полная версия

Базовая модель угроз безопасности персональных данных полная версия


Базовая модель угроз безопасности персональных данных полная версия

Оглавление:

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России 15.02.2008


БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (Выписка) Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа. Обозначения и сокращения АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система персональных данных КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных 1.Термины и определения В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному. Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

«БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ» (утв.

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
15.02.2008 ФСТЭК РФ)

УТВЕРЖДЕНА Заместителем директораФСТЭК России15 февраля 2008 г. Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.АРМ — автоматизированное рабочее местоВИ — видовая информацияВТСС — вспомогательные технические средства и системыИСПДн — информационная система персональных данныхКЗ — контролируемая зонаМЭ — межсетевой экранНДВ — недекларированные возможностиНСД — несанкционированный доступОБПДн — обеспечение безопасности персональных данныхОС — операционная системаПДн — персональные данныеПМВ — программно-математическое воздействиеПО — программное обеспечениеПЭМИН — побочные электромагнитные излучения и наводкиРИ — речевая информацияСВТ — средство вычислительной техникиСЗИ — средство защиты информацииСПИ — стеганографическое преобразование информацииСЭУПИ — специальные электронные устройства перехвата информацииТКУИ — технический канал утечки информацииТСОИ — технические средства обработки информацииУБПДн — угрозы безопасности персональных данныхВ настоящем документе используются следующие термины и их определения:Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.Вирус (компьютерный, программный) — исполняемый программный код или

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв.

ФСТЭК РФ 15.02.2008)

УтвержденаЗаместителем директораФСТЭК России15 февраля 2008 г.БАЗОВАЯ МОДЕЛЬУГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕВ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ(Выписка)Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.

Обозначения и сокращенияАРМ — автоматизированное рабочее местоВИ — видовая информацияВТСС — вспомогательные технические средства и системыИСПДн — информационная система персональных данныхКЗ — контролируемая зонаМЭ — межсетевой экранНДВ — недекларированные возможностиНСД — несанкционированный доступОБПДн — обеспечение безопасности персональных данныхОС — операционная системаПДн — персональные данныеПМВ — программно-математическое воздействиеПО — программное обеспечениеПЭМИН — побочные электромагнитные излучения и наводкиРИ — речевая информацияСВТ — средство вычислительной техникиСЗИ — средство защиты информацииСПИ — стеганографическое преобразование информацииСЭУПИ — специальные электронные устройства перехвата информацииТКУИ — технический канал утечки информацииТСОИ — технические средства обработки информацииУБПДн — угрозы безопасности персональных данных 1.
Термины и определенияВ настоящем документе используются следующие термины и их определения:Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации

303 КБ92254 196 КБ9756 Федеральная служба по техническому и экспортному контролю Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г. В книге всего пронумеровано 10 страниц, для служебного пользования Введение Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации.

Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных: государственных или муниципальных ИСПДн; ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением; ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд. Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн. 1. Общие положения Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г.

Бесплатная консультацияЮриста:По любым вопросам

Пример: Набрал займов в МФО из-за ремонта квартиры и лечения болезни. Поздно понял что это неподъемные займы для меня.

Как быть? Москва Санкт-Петербург Нажимая кнопку ОТПРАВИТЬ, вы принимаете условия Отправить Отправить

Правительства Москвы

Министерства юстицииРоссийской Федерации

Роспотребнадзора Последние вопросы Полное комплексное обслуживание С момента обращения к нам и до полного решения вопроса мы готовы сопровождать своих клиентов, оказывая им необходимые услуги и консультации.

Звонят, угрожают различными способами воздействия.

Бесплатный детальный анализ ситуации Наши специалисты детально изучат Вашу ситуацию, ознакомятся со всеми имеющимися документами, составят четкую картину проблемы.

Работа на результат Мы заинтересованны в успехе Вашего дела! Ваши победы — наши победы. Мы ориентированные исключительно на результат. Составление документов При необходимости юристы нашей компании возьмут на себя составление всех необходимых документов, для положительно решения дела. Бесплатная проработка вариантов Только после детального анализа имеющихся документов, погружения в сложившуюся ситуацию – мы сможем проработать пути решения и целесообразность их применения.
Подача документов Берем все на себя.

Составление. Сбор необходимого пакета документов. Подача в инстанции. Отслеживание.

Контроль каждого движения дела.

Всегда есть вероятность, что клиенту не нужно идти в суд или составлять претензию и иные документы, так как перспективы выиграть нет и клиент зря потратит время и деньги, хуже того, усугубит свое положение. Именно по этому юристы нашей компании сначала делают бесплатный анализ ситуации, изучают имеющиеся документы, и только после этого предлагают пути решения, если они имееются.

Почему

Модель угроз ПД.

Организационно-распорядительная документация по защите ПД

При построении системы защиты персональных данных (далее СЗПД) ключевым этапом является построение частной модели угроз для конкретной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты, в соответствии с принципами, рассмотренными в .Под угрозами безопасности ПД при их обработке в ИСПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.Угрозы безопасности могут быть реализованы двумя путями:

  1. через технические каналы утечки;
  2. путем несанкционированного доступа.

Обобщенная схема реализации канала угроз ПД показана на Рис. 4.1. Обобщенная схема канала реализации угроз безопасности персональных данныхТехнический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Среда распространения бывает однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т.д. Главное, что информация при этом отображается в виде полей, сигналов, образов, количественных характеристиках физических величин.Как правило, выделяют следующие угрозы за счет реализации технических каналов утечки:

  1. угрозы утечки речевой информации. Фактически злоумышленник перехватывает информацию с помощью специальной аппаратуры в

Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка)

Источниками угроз НСД в ИСПДн могут быть: нарушитель; носитель вредоносной программы; аппаратная закладка.

Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативным документами Федеральной службы безопасности Российской Федерации в установленном ею порядке.

По наличию права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа: нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, — внешние нарушители; нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, — внутренние нарушители.

Внешними нарушителями могут быть: разведывательные службы государств; криминальные структуры; конкуренты (конкурирующие организации); недобросовестные партнеры; внешние субъекты (физические лица). Внешний нарушитель имеет следующие возможности: осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений; осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена; осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны; осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к

Модель угроз безопасности персональных данных при их обработке

» » » Можно скачать этот документ в формате MS Word.

Скачивание доступно только зарегистрированным пользователям.

УТВЕРЖДАЮ УТВЕРЖДАЮ «____» _________________201_ г. «____» _________________201_ г.

СОГЛАСОВАНО «___»__________________ 201_ г. в

«_______________________________________________________________________________________________________________»

___________________________________________________________________________________________________ В настоящем документе используются следующие термины и их определения.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информа­ционную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что от­правитель полученных данных соответствует заявленному. Безопасность персональных данных – состояние защищенности персо­нальных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, це­лостность и доступность персональных данных при их обработке в информа­ционных системах персональных данных. Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами не­санкционированного распространения и самовоспроизведения.

О моделировании угроз

1 марта 2023 в 10:01

  1. ,
  2. ,
  3. ,
  4. ,

Вопрос обеспечения информационной безопасности Государственных Информационных Систем не только не теряет актуальности, но с развитием концепции электронного правительства и увеличением количества электронных услуг, становится более значимым.

Так, около месяца назад большой резонанс на Хабрахабре вызвала статья .

Используя терминологию проекта документа , эту ситуацию потенциально можно описать следующим образом:

  1. Для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы: «Для получение информации о документе об образовании достаточно просто заполнить форму, передвинуть слайдер и нажать кнопку.»
  2. Источник угроз НСД в ИСПДн: внешние субъекты (физические лица)
  3. Также оценке подлежат последствия реализации угрозы, в том числе экономические, социальные, политические и т. д. Для примера посмотрим, что относится к социальным последствиям: Появление негативных публикаций в общедоступных источниках. Невозможность (прерывание) предоставления социальных услуг (сервисов). Другие последствия,
  4. В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть: любопытство или желание самореализации; выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
  5. Орган государственной власти, орган местного самоуправления и организация, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем: Федеральная служба по надзору в сфере образования и науки.
  6. Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы: программных, программно-технических и технических средств обработки информации; каналов связи, выходящих за пределы контролируемой зоны: в этом кейсе была выявлена возможность SQL Injection.

Об утверждении модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных министерства здравоохранения республики тыва

В соответствии с , , , и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимися государственными или муниципальными органами, приказываю:1. Утвердить прилагаемую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства здравоохранения Республики Тыва (далее — Модель угроз).2.

Начальникам отделов организовать ознакомление подчиненных специалистов с настоящим приказом.3. Возложить на начальника отдела организационно-правового обеспечения и кадровой политики Болаа А.А.

персональную ответственность за исполнение требований настоящего приказа.4. ГБУ

«Медицинский информационно-аналитический центр Республики Тыва»

разместить настоящий приказ на официальном сайте Министерства здравоохранения Республики Тыва.5. Контроль за выполнением настоящего приказа возложить на заместителя министра здравоохранения Республики Тыва К.К.

Монгуш.6. Отделу организационно-правового обеспечения и кадровой политики ознакомить ответственных лиц с настоящим приказом.МинистрО.Э.ДОНГАК Утвержденаприказом Минздрава РТот 30 мая 2017 года N 617 АВС — антивирусные средства;АРМ — автоматизированное рабочее место;ВТСС — вспомогательные технические средства и системы;ИСПДн — информационная система персональных данных;КЗ — контролируемая зона;ЛВС — локальная вычислительная сеть;МЭ — межсетевой экран;НСД — несанкционированный доступ;ОС — операционная система;ПДн — персональные данные;ПМВ — программно-математическое воздействие;ПО — программное обеспечение;ПЭМИН-побочные электромагнитные излучения и наводки;САЗ — система анализа защищенности;СЗИ — средства защиты информации;СЗПДн — система (подсистема) защиты персональных данных;СОВ — система обнаружения вторжений;ТКУИ — технические каналы утечки информации;УБПДн — угрозы безопасности персональных данных;ФСТЭК России — Федеральная служба по техническому и экспортному контролю.В настоящем документе используются следующие термины и их определения:автоматизированная

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)

Заместителем директора ФСТЭК России 15 февраля 2008 г. Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа. АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных

УТВЕРЖДЕНАЗаместителем директораФСТЭК России15 февраля 2008 года (выписка)Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.АРМ — автоматизированное рабочее местоВИ — видовая информацияВТСС — вспомогательные технические средства и системыИСПДн — информационная система персональных данныхКЗ — контролируемая зонаМЭ — межсетевой экранНДВ — недекларированные возможностиНСД — несанкционированный доступОБПДн — обеспечение безопасности персональных данныхОС — операционная системаПДн — персональные данныеПМВ — программно-математическое воздействиеПО — программное обеспечениеПЭМИН — побочные электромагнитные излучения и наводкиРИ — речевая информацияСВТ — средство вычислительной техникиСЗИ — средство защиты информацииСПИ — стеганографическое преобразование информацииСЭУПИ — специальные электронные устройства перехвата информацииТКУИ — технический канал утечки информацииТСОИ — технические средства обработки информацииУБПДн — угрозы безопасности персональных данныхВ настоящем документе используются следующие термины и их определения:Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.Вирус (компьютерный, программный) — исполняемый программный

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка)

» » » Обозначения и сокращения АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система персональных данных КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.