Оглавление:
БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (Выписка) Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа. Обозначения и сокращения АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система персональных данных КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных 1.Термины и определения В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному. Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
УТВЕРЖДЕНА Заместителем директораФСТЭК России15 февраля 2008 г. Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.АРМ — автоматизированное рабочее местоВИ — видовая информацияВТСС — вспомогательные технические средства и системыИСПДн — информационная система персональных данныхКЗ — контролируемая зонаМЭ — межсетевой экранНДВ — недекларированные возможностиНСД — несанкционированный доступОБПДн — обеспечение безопасности персональных данныхОС — операционная системаПДн — персональные данныеПМВ — программно-математическое воздействиеПО — программное обеспечениеПЭМИН — побочные электромагнитные излучения и наводкиРИ — речевая информацияСВТ — средство вычислительной техникиСЗИ — средство защиты информацииСПИ — стеганографическое преобразование информацииСЭУПИ — специальные электронные устройства перехвата информацииТКУИ — технический канал утечки информацииТСОИ — технические средства обработки информацииУБПДн — угрозы безопасности персональных данныхВ настоящем документе используются следующие термины и их определения:Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.Вирус (компьютерный, программный) — исполняемый программный код или
ФСТЭК РФ 15.02.2008)
УтвержденаЗаместителем директораФСТЭК России15 февраля 2008 г.БАЗОВАЯ МОДЕЛЬУГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕВ ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ(Выписка)Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.
303 КБ92254 196 КБ9756 Федеральная служба по техническому и экспортному контролю Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г. Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г. В книге всего пронумеровано 10 страниц, для служебного пользования Введение Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г.
N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации.
Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных: государственных или муниципальных ИСПДн; ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением; ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд. Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн. 1. Общие положения Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г.
Пример: Набрал займов в МФО из-за ремонта квартиры и лечения болезни. Поздно понял что это неподъемные займы для меня.
Как быть? Москва Санкт-Петербург Нажимая кнопку ОТПРАВИТЬ, вы принимаете условия Отправить Отправить
Правительства Москвы
Министерства юстицииРоссийской Федерации
Роспотребнадзора Последние вопросы Полное комплексное обслуживание С момента обращения к нам и до полного решения вопроса мы готовы сопровождать своих клиентов, оказывая им необходимые услуги и консультации.
Бесплатный детальный анализ ситуации Наши специалисты детально изучат Вашу ситуацию, ознакомятся со всеми имеющимися документами, составят четкую картину проблемы.
Составление. Сбор необходимого пакета документов. Подача в инстанции. Отслеживание.
Контроль каждого движения дела.
Всегда есть вероятность, что клиенту не нужно идти в суд или составлять претензию и иные документы, так как перспективы выиграть нет и клиент зря потратит время и деньги, хуже того, усугубит свое положение. Именно по этому юристы нашей компании сначала делают бесплатный анализ ситуации, изучают имеющиеся документы, и только после этого предлагают пути решения, если они имееются.
Почему
Организационно-распорядительная документация по защите ПД
При построении системы защиты персональных данных (далее СЗПД) ключевым этапом является построение частной модели угроз для конкретной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты, в соответствии с принципами, рассмотренными в .Под угрозами безопасности ПД при их обработке в ИСПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.Угрозы безопасности могут быть реализованы двумя путями:
Обобщенная схема реализации канала угроз ПД показана на Рис. 4.1. Обобщенная схема канала реализации угроз безопасности персональных данныхТехнический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Среда распространения бывает однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т.д. Главное, что информация при этом отображается в виде полей, сигналов, образов, количественных характеристиках физических величин.Как правило, выделяют следующие угрозы за счет реализации технических каналов утечки:
Источниками угроз НСД в ИСПДн могут быть: нарушитель; носитель вредоносной программы; аппаратная закладка.
Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативным документами Федеральной службы безопасности Российской Федерации в установленном ею порядке.
Внешними нарушителями могут быть: разведывательные службы государств; криминальные структуры; конкуренты (конкурирующие организации); недобросовестные партнеры; внешние субъекты (физические лица). Внешний нарушитель имеет следующие возможности: осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений; осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена; осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны; осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к
» » » Можно скачать этот документ в формате MS Word.
Скачивание доступно только зарегистрированным пользователям.
УТВЕРЖДАЮ УТВЕРЖДАЮ «____» _________________201_ г. «____» _________________201_ г.
СОГЛАСОВАНО «___»__________________ 201_ г. в
«_______________________________________________________________________________________________________________»
___________________________________________________________________________________________________ В настоящем документе используются следующие термины и их определения.
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному. Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.
1 марта 2023 в 10:01
Вопрос обеспечения информационной безопасности Государственных Информационных Систем не только не теряет актуальности, но с развитием концепции электронного правительства и увеличением количества электронных услуг, становится более значимым.
Так, около месяца назад большой резонанс на Хабрахабре вызвала статья .
Используя терминологию проекта документа , эту ситуацию потенциально можно описать следующим образом:
В соответствии с , , , и принятыми в соответствии с ним нормативными правовыми актами операторами, являющимися государственными или муниципальными органами, приказываю:1. Утвердить прилагаемую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства здравоохранения Республики Тыва (далее — Модель угроз).2.
Начальникам отделов организовать ознакомление подчиненных специалистов с настоящим приказом.3. Возложить на начальника отдела организационно-правового обеспечения и кадровой политики Болаа А.А.
персональную ответственность за исполнение требований настоящего приказа.4. ГБУ
«Медицинский информационно-аналитический центр Республики Тыва»
разместить настоящий приказ на официальном сайте Министерства здравоохранения Республики Тыва.5. Контроль за выполнением настоящего приказа возложить на заместителя министра здравоохранения Республики Тыва К.К.
Монгуш.6. Отделу организационно-правового обеспечения и кадровой политики ознакомить ответственных лиц с настоящим приказом.МинистрО.Э.ДОНГАК Утвержденаприказом Минздрава РТот 30 мая 2017 года N 617 АВС — антивирусные средства;АРМ — автоматизированное рабочее место;ВТСС — вспомогательные технические средства и системы;ИСПДн — информационная система персональных данных;КЗ — контролируемая зона;ЛВС — локальная вычислительная сеть;МЭ — межсетевой экран;НСД — несанкционированный доступ;ОС — операционная система;ПДн — персональные данные;ПМВ — программно-математическое воздействие;ПО — программное обеспечение;ПЭМИН-побочные электромагнитные излучения и наводки;САЗ — система анализа защищенности;СЗИ — средства защиты информации;СЗПДн — система (подсистема) защиты персональных данных;СОВ — система обнаружения вторжений;ТКУИ — технические каналы утечки информации;УБПДн — угрозы безопасности персональных данных;ФСТЭК России — Федеральная служба по техническому и экспортному контролю.В настоящем документе используются следующие термины и их определения:автоматизированная
Заместителем директора ФСТЭК России 15 февраля 2008 г. Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа. АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи. (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения.
УТВЕРЖДЕНАЗаместителем директораФСТЭК России15 февраля 2008 года (выписка)Примечание: при рассмотрении угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) необходимо применять полную версию данного документа.АРМ — автоматизированное рабочее местоВИ — видовая информацияВТСС — вспомогательные технические средства и системыИСПДн — информационная система персональных данныхКЗ — контролируемая зонаМЭ — межсетевой экранНДВ — недекларированные возможностиНСД — несанкционированный доступОБПДн — обеспечение безопасности персональных данныхОС — операционная системаПДн — персональные данныеПМВ — программно-математическое воздействиеПО — программное обеспечениеПЭМИН — побочные электромагнитные излучения и наводкиРИ — речевая информацияСВТ — средство вычислительной техникиСЗИ — средство защиты информацииСПИ — стеганографическое преобразование информацииСЭУПИ — специальные электронные устройства перехвата информацииТКУИ — технический канал утечки информацииТСОИ — технические средства обработки информацииУБПДн — угрозы безопасности персональных данныхВ настоящем документе используются следующие термины и их определения:Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.Вирус (компьютерный, программный) — исполняемый программный
» » » Обозначения и сокращения АРМ — автоматизированное рабочее место ВИ — видовая информация ВТСС — вспомогательные технические средства и системы ИСПДн — информационная система персональных данных КЗ — контролируемая зона МЭ — межсетевой экран НДВ — недекларированные возможности НСД — несанкционированный доступ ОБПДн — обеспечение безопасности персональных данных ОС — операционная система ПДн — персональные данные ПМВ — программно-математическое воздействие ПО — программное обеспечение ПЭМИН — побочные электромагнитные излучения и наводки РИ — речевая информация СВТ — средство вычислительной техники СЗИ — средство защиты информации СПИ — стеганографическое преобразование информации СЭУПИ — специальные электронные устройства перехвата информации ТКУИ — технический канал утечки информации ТСОИ — технические средства обработки информации УБПДн — угрозы безопасности персональных данных В настоящем документе используются следующие термины и их определения: Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.