Файл: 4 3 Разработка модели угроз безопасности информации.docx

ВУЗ: Не указан

Категория: Отчет по практике

Дисциплина: Не указана

Добавлен: 26.10.2023

Просмотров: 222

Скачиваний: 12

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Содержание

1. Общие положения

2. Описание систем и сетей и их характеристика как объектов защиты

2.1 Архитектура и схема подключений информационной системы.

2.2 Описание процессов передачи информации.

2.3 Перечень программных средств, используемых для обработки персональных данных в ИСПДн «Кадры» ЗАО «Солнышко»

2.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»

2.5 Анализ организационных мер защиты ИСПДн

2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе

2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»

3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации

4. Возможные объекты воздействия угроз безопасности информации

5. Источники угроз безопасности информации

6. Способы реализации (возникновения) угроз безопасности информации

7. Актуальные угрозы безопасности информации

7.1 Актуальные техники и тактики реализации угроз.

7.2 Перечень актуальных угроз безопасности информации


3 По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

  • обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);

  • обработка персональных данных субъектов, не являющихся работниками вашей организации.

4 По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

  • менее 100 000 субъектов;

  • более 100 000 субъектов;

5 Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн

6 Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа

7 С разграничением прав доступа или без разграничения прав доступа

8 Имеется / не имеется

9 Типовая / специальная

10 Типы актуальных угроз

угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

11 Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:



12 Для определения Виды рисков (ущерба) и типовых негативных последствий от реализации угроз безопасности информации необходимо пользоваться Приложением 4 Методического документа ФСТЭК России: Методика оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

13 Пример определения объектов воздействия и видов воздействия на них приведен в Приложении 5 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.


14 Пример определения возможных целей реализации угроз безопасности информации нарушителями приведен в Приложении 6 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

15 Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации (для ГИС) приведен в Приложении 7 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

16 Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведен в Приложении 7 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

17 Пример Переченя основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности приведен в Приложении 11 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

18 Перечислить актуальные угрозы безопасности