Определение коэффициента реализуемости угроз (Y)

По итогам оценки уровня защищенности (Y1)и вероятности реализации угрозы (Y2), рассчитывается коэффициент реализуемости угрозы (Y):

Y1 + Y2

Коэффициент реализуемости угрозы (Y):

Таблица 5.

Значение Описание
0 <Y < 0,3 возможность реализации угрозы признается низкой
0,3 < Y< 0,6 возможность реализации угрозы признается средней
0,6 <Y< 0,8 возможность реализации угрозы признается высокой
Y>0,8 возможность реализации угрозы признается очень высокой
    Таблица 6.
Тип угроз безопасности ПДн Коэффициент реализуемости угрозы (Y) Возможность реализации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информации    
1.2. Угрозы утечки видовой информации    
1.3. Угрозы утечки информации по каналам ПЭМИН    
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ    
2.1.2. Кража носителей информации    
2.1.3. Кража ключей и атрибутов доступа    
2.1.4. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ    
2.1.5. Несанкционированное отключение средств защиты    
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)    
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных    
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей    
2.2.4. Перехват управления сетевым оборудованием    
2.2.5 Загрузка ОС с недостоверных внешних носителей    
2.2.6.Несанкционированное использование систем удаленного администрирования    
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа    
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками    
2.3.3. Непреднамеренное отключение средств защиты    
2.3.4. Выход из строя аппаратно-программных средств    
2.3.5. Сбой системы электроснабжения    
2.3.6. Стихийное бедствие    
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами не допущенными к ее обработке    
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке    
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контролируемой зоны    
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями    
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.    
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.    
2.5.3.Угрозы выявления паролей по сети    
2.5.4.Угрозы навязывание ложного маршрута сети    
2.5.5.Угрозы подмены доверенного объекта в сети    
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях    
2.5.7.Угрозы типа «Отказ в обслуживании»    
2.5.8.Угрозы удаленного запуска приложений    
2.5.9.Угрозы внедрения по сети вредоносных программ    
       

Оценка опасности угроз

Оценка опасности производится на основе опроса специалистов по защите информации

и определяется вербальным показателем опасности, который имеет три значения:

Таблица 6

Опасность Описание
низкая если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных
средняя если реализация угрозы может привести к негативным последствиям для субъектов персональных данных
высокая если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных

Таблица 7

Тип угроз безопасности ПДн Опасность угрозы
1. УГРОЗЫ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ.  
1.1. Угрозы утечки акустической информации  
1.2. Угрозы утечки видовой информации  
1.3. Угрозы утечки информации по каналам ПЭМИН  
2. УГРОЗЫ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ  
2.1.2. Кража носителей информации  
2.1.3. Кража ключей и атрибутов доступа  
2.1.4. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ  
2.1.5. Несанкционированное отключение средств защиты  
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)  
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных  
2.2.3. Установка ПО не связанного с исполнением служебных обязанностей  
2.2.4. Перехват управления сетевым оборудованием  
2.2.5 Загрузка ОС с недостоверных внешних носителей  
2.2.6.Несанкционированное использование систем удаленного администрирования  
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа  
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками  
2.3.3. Непреднамеренное отключение средств защиты  
2.3.4. Выход из строя аппаратно-программных средств  
2.3.5. Сбой системы электроснабжения  
2.3.6. Стихийное бедствие  
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке  
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке  
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:  
2.5.1.1. Перехват за переделами с контролируемой зоны  
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями  
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.  
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.  
2.5.3.Угрозы выявления паролей по сети  
2.5.4.Угрозы навязывание ложного маршрута сети  
2.5.5.Угрозы подмены доверенного объекта в сети  
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях  
2.5.7.Угрозы типа «Отказ в обслуживании»  
2.5.8.Угрозы удаленного запуска приложений  
2.5.9.Угрозы внедрения по сети вредоносных программ  

Оценка актуальности угроз

В соответствии с правилами отнесения угрозы безопасности к актуальной (Таблица 8), для ИСПДн определяются актуальные и неактуальные угрозы.

После чего делается вывод о наличии актуальных угроз и мер защиты, направленных на снижения риска возникновения и последствий актуальных угроз.

Таблица 8.

Возможность реализации угрозы Показатель угрозы безопасности
Низкая опасность Средняя опасность Высокая опасность
Низкая (0 < Y< 0,3) неактуальная неактуальная актуальная
Средняя (0,3 <Y< 0,6) неактуальная актуальная актуальная
Высокая (0,6 <Y< 0,8) актуальная актуальная актуальная
Очень высокая (Y> 0,8) актуальная актуальная актуальная

Угрозы безопасности

Таблица 9.

Тип угроз безопасности ПДн Возможность реализации угрозы Показатель опасности угрозы Актуальность угрозы
1. Угрозы утечки по техническим каналам.
1.1. Угрозы утечки акустической информации      
1.2. Угрозы утечки видовой информации      
1.3. Угрозы утечки информации по каналам ПЭМИН      
2.Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн
2.1.1. Кража ПЭВМ      
2.1.2. Кража носителей информации      
2.1.3. Кража ключей и атрибутов доступа      
2.1.4. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ      
2.1.5. Несанкционированное отключение средств защиты      
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (вирусов)      
2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных      
2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей      
2.2.4. Перехват управления сетевым оборудованием      
2.2.5 Загрузка ОС с недостоверных внешних носителей      
2.2.6.Несанкционированное использование систем удаленного администрирования      
2.3. Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа      
2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками      
2.3.3. Непреднамеренное отключение средств защиты      
2.3.4. Выход из строя аппаратно-программных средств      
2.3.5. Сбой системы электроснабжения      
2.3.6. Стихийное бедствие 2.3.7.      
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация, уничтожение лицами, не допущенными к ее обработке      
2.4.2. Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке      
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:  
2.5.1.1. Перехват за переделами с контролируемой зоны      
2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями      
2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.      
2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.      
2.5.3.Угрозы выявления паролей по сети      
2.5.4.Угрозы навязывание ложного маршрута сети      
2.5.5.Угрозы подмены доверенного объекта в сети      
2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях      
2.5.7.Угрозы типа «Отказ в обслуживании»      
2.5.8.Угрозы удаленного запуска приложений      
2.5.9.Угрозы внедрения по сети вредоносных программ      

Заключение

Таким образом, актуальными угрозами безопасности ПДн для данной ИСПДн, являются:

____________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

ПРИКАЗ

Об утверждении Правил

осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ЛПУ

Во исполнение Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 01.11.2012 № 1119.

ПРИКАЗЫВАЮ:

1.Утвердить Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ЛПУ (Приложение № 1).

2.Утвердить План внутренних проверок данных ЛПУ (Приложение № 2).

3.Утвердить форму Протокола проведения внутренней проверки данных ЛПУ ЛПУ (Приложение № 3)

4. Ответственному за обработку персональных данных __________________

(Ф.И.О сотрудника)

в срок до ______________ г. ознакомить под роспись сотрудников, допущенных к обработке персональных данных с Правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ЛПУ.

Приложение № 1

ПРАВИЛА
осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ЛПУ

ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящие Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных ЛПУ разработаны с учетом Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Настоящие Правила определяют порядок осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных и действуют постоянно.

Наши рекомендации