Файл: Модель угроз безопасности персональных данных при их обработке в испдн ао "втз".docx

Скачать файл (0,26Мб)

Заказать решение

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 11.01.2024

Просмотров: 516

Скачиваний: 8

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

«
1
2
...
19
20
21
22
23
24
»

СОДЕРЖАНИЕ

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН

3. ОПИСАНИЕ ИСПДН

3.4. ИСПДн «1C: Бухгалтерия 8.3».

3.5. ИСПДн «1C: ЗИК 7.7»

3.6. ИСПДн «1C: Бухгалтерия 7.7»

3.7. ИСПДн «Портал ДПО»

3.8. ИСПДн «old.dpomos.ru»

3.9. ИСПДн «mioo.seminfo.ru»

4. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДН

5. ЗАКЛЮЧЕНИЕ

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ	Вероятность реализации
известных уязвимостей в ПО	При осуществлении взаимодействия с сетью Интернет используются средства межсетевого экранирования. В ЛВС используются только коммутаторы и маршрутизаторы (хабы не используются). На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Факторы, повышающие вероятность реализации угрозы: на части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости.
4. Угрозы удаленного запуска приложений, в том числе: распространение файлов, содержащих несанкционирован ный исполняемый код; переполнение буфера приложенийсерверов; использование возможностей удаленного	Внешний нарушите ль	Реализуется путем эксплуатации уязвимостей, вызванных наличием НДВ в системном ПО	Программные средства ИСПДн: ОС	Нарушение конфиденциальн ости, целостности и доступности ПДн	Средняя вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: Используется лицензионное системное ПО надежных производителей. На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. При осуществлении взаимодействия с сетью Интернет используются средства межсетевого экранирования. Обеспечивается разграничение доступа пользователей к ИСПДн. Факторы, повышающие вероятность реализации угрозы: на части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости.				Средняя вероятность

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ		Вероятность реализации
управления системой
Угрозы 2-го типа
5. Угроза НСД с применением стандартных функций прикладного ПО	Внутренн ий нарушите ль	Доступ в операционную среду ИСПДн, реализуемый при помощи эксплуатации НДВ (уязвимостей прикладного ПО), осуществляемый при физическом доступе к ИСПДн или средствам ввода информации в ИСПДн	Технические средства ИСПДн (АРМ пользователей, сервера приложений/БД ИСПДн) Программные средства ИСПДн: ППО, СУБД	Нарушение конфиденциальн ости, целостности и доступности ПДн		Средняя вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: Используется лицензионное ПО надежных производителей. На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Доступ в помещения, где расположены сервера, ограничен и контролируется. Идентификация и аутентификация пользователей осуществляется по локальным учетным записям и паролям. Обеспечивается разграничение доступа пользователей к ИСПДн. Факторы, повышающие вероятность реализации угрозы: 1. На части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. 2. Требования парольной политики не настроены и не контролируются.
	Внутренн	Реализуется путем эксплуатации	Технические	Нарушение		Средняя

6. Угроза НСД с

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ		Вероятность реализации
применением специально созданных для этого программ	ий нарушите ль Внешний нарушите ль	НДВ в прикладном ПО (известных уязвимостей)	средства ИСПДн: сервера приложений/БД ИСПДн Программные средства ИСПДн: ППО, СУБД	конфиденциальн ости, целостности и доступности ПДн		вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: Используется лицензионное ПО надежных производителей. На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Идентификация и аутентификация осуществляется по локальным учетным записям и паролям. Обеспечивается разграничение доступа пользователей к ИСПДн. Факторы, повышающие вероятность реализации угрозы: На части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Требования парольной политики не настроены и не контролируются.
7. Угрозы типа «Отказ в обслуживании», в том числе использование известных уязвимостей в ПО	Внешний нарушите ль	Реализуется путем эксплуатации уязвимостей НДВ в прикладном ПО	Программные средства ИСПДн ППО, СУБД	Нарушение доступности ПДн		Средняя вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: Используется лицензионное ПО надежных производителей. При осуществлении взаимодействия с сетью Интернет используются средства межсетевого экранирования. В ЛВС используются только коммутаторы и маршрутизаторы (хабы не используются).

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ	Вероятность реализации
	4. На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Факторы, повышающие вероятность реализации угрозы: На части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Средства анализа защищенности не используются
8. Угрозы удаленного запуска приложений, в том числе: распространение файлов, содержащих несанкционирован ный исполняемый код; переполнение буфера приложенийсерверов; использование возможностей удаленного управления системой	Внешний нарушите ль	Реализуется путем эксплуатации уязвимостей, вызванных наличием НДВ в прикладном ПО	Программные средства ИСПДн: ППО, СУБД	Нарушение конфиденциальн ости, целостности и доступности ПДн	Средняя вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: Используется лицензионное системное ПО надежных производителей. На части серверов устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. При осуществлении взаимодействия с сетью Интернет используются средства межсетевого экранирования. Обеспечивается разграничение доступа пользователей к ИСПДн. Факторы, повышающие вероятность реализации угрозы: На части серверов не устанавливаются обновления и патчи для системного ПО, сервисов и служб, которые закрывают известные и новые уязвимости. Средства анализа защищенности не используются.
Угрозы 3-го типа

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ		Вероятность реализации
9. Угрозы утечки акустической (речевой) информации	Внешний нарушите ль	Перехват акустической (речевой) информации с использованием аппаратуры, регистрирующей акустические и виброакустические волны, а также электромагнитные излучения, оптические и электрические сигналы, модулированные информативным акустическим сигналом. Перехват акустической (речевой) информации с использованием специальных электронных устройств съема речевой информации	Технические средства обработки ПДн, ВТСС, строительные конструкции, инженернотехнические коммуникации, персонал ИСПДн	Нарушение конфиденциальн ости ПДн		Маловероятн ая вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: речевой (акустический) ввод/вывод информации в данной ИСПДн не предусмотрен.
10. Угрозы утечки видовой информации	Внешний Просмотр ПДн с помощью Технические Нарушение нарушитеоптических (оптикоэлектронных) средства обработки конфиденциальн ль средств с экранов дисплеев и ПДн, помещения, ости ПДн Внутренндругих средств отображения персонал ИСПДн ий средств вычислительной техники, нарушитеинформационно-вычислительных ль комплексов, технических средств обработки графической, видео и буквенно-цифровой информации				Низкая вероятность
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: 1. Доступ в помещения, где расположены сервера, ограничен и контролируется.

Класс угроз		Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ	Вероятность реализации
		2. Средства отображения информации в серверных помещениях защищены от визуального просмотра.
		Внешний Просмотр ПДн с помощью Технические Нарушение нарушитеспециальных электронных средства обработки конфиденциальн ль устройств съема, внедренных в ПДн, помещения, ости ПДн служебных помещениях или персонал ИСПДн скрытно используемых физическими лицами при посещении ими служебных помещений				Низкая вероятность
		Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: доступ в помещения, где расположены сервера, ограничен и контролируется.
11. Угрозы утечки информации по каналам ПЭМИН		Внешний нарушите ль	Перехват техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн	Инженернотехнические коммуникации (цепи электропитания, шины заземления и т.д.) Института ВТСС (средства и системы охранной и пожарной сигнализации и т.д.) Института Линии связи и передачи данных Технические	Нарушение конфиденциальн ости ПДн	Низкая вероятность

Класс угроз	Источник угроз	Способ реализации	Объект воздействия	Нарушаемые свойства ИБ		Вероятность реализации
			средства обработки ПДн (рабочие станции, сервера и т.д.)
	Применяемые защитные меры, снижающие вероятность и ущерб от реализации угрозы: при обработке информации основную опасность при реализации угрозы утечки по каналам ПЭМИН представляют утечки из-за наличия электромагнитных излучений монитора. Ввиду большого числа рабочих станция и другого оборудования, выделение необходимой информации из общей среды представляется маловероятным.
12. Угрозы модификации базовой системы ввода/вывода (BIOS), перехвата управления загрузкой, перехвата или подбора паролей или идентификаторов, а также использование технологических паролей BIOS	Внутренн ий нарушите ль Внешний нарушите ль	Реализуются с использованием отчуждаемых носителей информации. Осуществляются перехват паролей или идентификаторов, модификация программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с целью изменения необходимой технологической информации для получения НСД в операционную среду ИСПДн	Программные средства ИСПДн: базовая система ввода-вывода (BIOS). Технические средства ИСПДн	Нарушение конфиденциальн ости, целостности и доступности ПДн		Низкая вероятность
	Применяемые защитные меры, снижающие вероятность угроз: доступ в помещения, где расположены сервера, ограничен и контролируется. Факторы, повышающие вероятность реализации угрозы: аутентификация пользователей при доступе к BIOS не осуществляется.

«
1
2
...
19
20
21
22
23
24
»

Смотрите также файлы

Тематический план практики Содержание практики (планы психологопедагогической работы)8.docx

Монополии и их роль в рыночной экономике.docx

Тестовые задания к промежуточной аттестации по ортодонтии.pdf

Где живут люди на нашей планете Как общаются люди между собой Кто в природе является нашими ближайшими родственниками Чем мы с ними похожи Откуда взялись люди Учёные считают, что.pptx

Реферат особо опасные инфекционные заболевания работу Ковальчук Илья Олегович Группа ис19.docx