Add to collection(s) Add to saved
  1. No category

Проект Отраслевая частная модель угроз безопасности персональных данных

advertisement 
Проект
Отраслевая частная модель угроз безопасности персональных данных
при их обработке в информационных системах персональных данных
организаций банковской системы Российской Федерации
1. Общие положения
1.1. Угрозы безопасности персональных данных (ПДн) при их обработке в
информационных системах персональных данных (ИСПДн) организаций банковской
системы Российской Федерации (БС РФ) - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности1 (неправомерное использование) ПДн, в том
числе за счет хищения отчуждаемых машинных носителей с несанкционированно
копированной информацией.
1.2. Отраслевая частная модель угроз безопасности персональных данных при их
обработке в ИСПДн организаций БС РФ (далее – Отраслевая модель угроз) разработана на
основе документов Федеральной службы по техническому и экспортному контролю
"Методика определения актуальных угроз безопасности персональных данных при их
обработке в информационных системах персональных данных" и "Базовая модель угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных".
1.3. Отраслевая модель угроз содержит систематизированный перечень актуальных
угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз
безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных
объектов среды обработки ПДн (далее – актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн – угроза безопасности ПДн, риск реализации
которой воспринимается организацией БС РФ как недопустимый риск нарушения
безопасности ПДн в соответствии с Оценкой рисков нарушения безопасности персональных
данных, обрабатываемых в ИСПДн.
На основе актуальных угроз безопасности ПДн определяются требования по
обеспечению безопасности ПДн, направленные на нейтрализацию этих угроз.
1.4. Отраслевая модель угроз содержит единые исходные данные по актуальным для
организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том
числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования,
неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн
и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимается
ознакомление с ПДн, их обработка, в частности, копирование, модификация или
уничтожение ПДн (в соответствии с Руководящим документом «Защита от
Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн
лицом требование не допускать их распространение без согласия субъекта ПДн или иного законного основания
(пункт 10 статьи 3 Федерального закона «О персональных данных»). Обеспечение конфиденциальности ПДн не
требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального
закона «О персональных данных»).
1
2
несанкционированного доступа к информации. Термины и определения», Гостехкомиссия
России.- М.: Воениздат,-1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в
частности, относится:
доступ к ПДн или действия с ПДн, нарушающие установленные права и (или)
правила разграничения доступа с использованием штатных средств, предоставляемых
ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с
использованием вредоносных программ (вредоносного кода).
1.5. Область применения Отраслевой модели угроз – ИСПДн организаций БС РФ, к
которым относятся системы, целью создания и использования которых является обработка
ПДн и которые представляют собой совокупность ПДн, содержащихся в базе данных, а
также информационных технологий и технических средств, позволяющих осуществлять
обработку таких ПДн с использованием средств автоматизации или без использования таких
средств2.
2. Категории ПДн:
категория 1 – персональные данные, отнесенные в соответствии с Федеральным
законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный
закон «О персональных данных») к специальным категориям персональных данных;
категория 2 – персональные данные, отнесенные в соответствии с Федеральным
законом «О персональных данных» к биометрическим персональным данным;
категория 3 – персональные данные, которые не могут быть отнесены к категории 1,
категории 2 или категории 4;
категория 4 - персональные данные, отнесенные в соответствии с Федеральным
законом «О персональных данных» к общедоступным или обезличенным персональным
данным.
3. Перечень основных источников угроз безопасности ПДн:

неблагоприятные события природного и техногенного характера;

террористы, криминальные элементы;

компьютерные
злоумышленники,
осуществляющие
целенаправленные
деструктивные воздействия, в том числе использование компьютерных вирусов и других
типов вредоносных кодов и атак;

поставщики программно-технических средств, расходных материалов, услуг и
т.п.;

подрядчики,
осуществляющие
монтаж,
пуско-наладочные
работы
оборудования и его ремонт;

сотрудники организации БС РФ, являющиеся легальными участниками
процессов в ИСПДн и действующие вне рамок предоставленных полномочий;

сотрудники организации БС РФ, являющиеся легальными участниками
процессов в ИСПДн и действующие в рамках предоставленных полномочий.
2
Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
2
3
4. Уровни информационной инфраструктуры, на которых возможна реализация угроз
безопасности ПДн:
- физический уровень;
- сетевой уровень;
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень банковских технологических процессов и приложений.
5. Отраслевая модель угроз ПДн
Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное
описание угроз безопасности ПДн для каждой категории ПДн, включающее:
 источник угрозы безопасности ПДн;
 угроза безопасности ПДн;
 уровень реализации угрозы безопасности ПДн;
 типы материальных объектов среды обработки ПДн (далее – типы объектов
среды).
3
4
№
п/п
1
1
2
3
4
Таблица. Отраслевая модель угроз безопасности ПДн
Источник угрозы
Уровень реализации
безопасности ПДн
угрозы безопасности ПДн
2
3
ПДн категории 1,
ПДн категории 2
Компьютерные
Сетевой уровень
злоумышленники,
осуществляющие
Уровень сетевых
целенаправленное
деструктивное воздействие приложений и сервисов
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Поставщики программнотехнических средств,
расходных материалов,
услуг и т.п. и подрядчики,
осуществляющие монтаж,
пуско-наладочные работы
оборудования и его ремонт
Сотрудники, действующие
в рамках предоставленных
полномочий
Типы
объектов среды
4
Маршрутизаторы, коммутаторы,
концентраторы
Программные компоненты передачи
данных по компьютерным сетям
(сетевые сервисы)
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Уровень банковских
технологических
приложений и сервисов
Уровень операционных
систем
Уровень систем управления
базами данных
Уровень банковских
технологических
приложений и сервисов
Физический уровень
Сетевой уровень
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Файлы данных с ПДн
Базы данных с ПДн
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Линии связи, аппаратные и
технические средства, сервера,
физические носители информации
Маршрутизаторы, коммутаторы,
4
Угроза безопасности ПД
5
Нарушение целостности
Нарушение доступности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
5
№
п/п
1
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
Источник угрозы
безопасности ПДн
2
Сотрудники, действующие
вне рамок
предоставленных
полномочий
39
40
41
42
43
44
ПДн категории 3
Компьютерные
злоумышленники,
осуществляющие
Уровень реализации
угрозы безопасности ПДн
3
Типы
объектов среды
4
концентраторы
Уровень сетевых
приложений и сервисов
Программные компоненты передачи
данных по компьютерным сетям
(сетевые сервисы)
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Уровень банковских
технологических
приложений и сервисов
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Уровень банковских
технологических
приложений и сервисов
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Сетевой уровень
Маршрутизаторы, коммутаторы,
концентраторы
Уровень сетевых
Программные компоненты передачи
5
Угроза безопасности ПД
5
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение целостности
Нарушение доступности
Нарушение целостности
6
№
п/п
1
45
46
47
48
49
50
51
52
53
Источник угрозы
безопасности ПДн
2
целенаправленное
деструктивное воздействие
Сотрудники, действующие
в рамках предоставленных
полномочий
54
55
56
57
58
59
60
61
62
63
64
65
66
Типы
объектов среды
4
данных по компьютерным сетям
(сетевые сервисы)
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Физический уровень
Линии связи, аппаратные и
технические средства, сервера,
физические носители информации
Сетевой уровень
Маршрутизаторы, коммутаторы,
концентраторы
Уровень сетевых
приложений и сервисов
Программные компоненты передачи
данных по компьютерным сетям
(сетевые сервисы)
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Сотрудники, действующие
Уровень операционных
Угроза безопасности ПД
5
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение доступности
Уровень банковских
технологических
приложений и сервисов
67
68
69
Уровень реализации
угрозы безопасности ПДн
3
приложений и сервисов
Файлы данных с ПДн
6
Нарушение конфиденциальности
7
№
п/п
1
70
71
72
Источник угрозы
безопасности ПДн
2
вне рамок
предоставленных
полномочий
73
74
75
76
77
78
79
80
81
ПДн категории 4
Компьютерные
злоумышленники,
осуществляющие
целенаправленное
деструктивное воздействие
Сотрудники, действующие
в рамках предоставленных
полномочий
82
83
84
85
86
87
Сотрудники, действующие
вне рамок
предоставленных
полномочий
Уровень реализации
угрозы безопасности ПДн
3
систем
Уровень систем управления
базами данных
Уровень банковских
технологических
приложений и сервисов
Типы
объектов среды
4
Базы данных с ПДн
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
5
Нарушение целостности
Нарушение доступности
Нарушение конфиденциальности
Нарушение целостности
Нарушение конфиденциальности
Нарушение целостности
Нарушение целостности
Нарушение доступности
Нарушение целостности
Нарушение доступности
Нарушение целостности
Уровень операционных
систем
Файлы данных с ПДн
Уровень систем управления
базами данных
Базы данных с ПДн
Уровень банковских
технологических
приложений и сервисов
Уровень операционных
систем
Уровень систем управления
базами данных
Угроза безопасности ПД
Нарушение доступности
Нарушение целостности
Нарушение доступности
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
Нарушение доступности
Файлы данных с ПДн
Нарушение целостности
Базы данных с ПДн
7
Нарушение целостности
Нарушение целостности
8
№
п/п
1
88
Источник угрозы
безопасности ПДн
2
Уровень реализации
угрозы безопасности ПДн
3
Уровень банковских
технологических
приложений и сервисов
Типы
объектов среды
4
Прикладные программы доступа и
обработки ПДн, автоматизированные
рабочие места ИСПДн
8
Угроза безопасности ПД
5
Нарушение целостности
Related documents
Организационно-правовое обеспечение защиты персональных
Организационно-правовое обеспечение защиты персональных
Завершён пилотный проект по защите - Элвис-Плюс
Завершён пилотный проект по защите - Элвис-Плюс
Заявление на получение страховой выплаты страхование
Заявление на получение страховой выплаты страхование
Download
advertisement