Определение актуальности угроз в ИСПДн

В соответствии с правилами отнесения угрозы безопасности к актуальной, для ИСПДн определяются актуальные и неактуальные угрозы.

Таблица 6. Правила определения актуальности УБПДн

  Возможность реализации угрозы Показатель опасности угрозы
Низкая Средняя Высокая
Низкая неактуальная неактуальная актуальная
Средняя неактуальная актуальная актуальная
Высокая актуальная актуальная актуальная
Очень высокая актуальная актуальная актуальная

Оценка актуальности угроз безопасности представлена в таблице.

Таблица 7. Актуальность УБПДн

Тип угроз безопасности ПДн Опасность угрозы
1. Угрозы от утечки по техническим каналам.  
1.1. Угрозы утечки акустической информации неактуальная
1.2. Угрозы утечки видовой информации неактуальная
1.3. Угрозы утечки информации по каналам ПЭМИН неактуальная
2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа
2.1. Кража и уничтожение носителей информации неактуальная
2.2. Кража физических носителей ключей и атрибутов доступа актуальная
2.3. Утрата носителей информации неактуальная
2.4. Утрата и компрометация ключей и атрибутов доступа актуальная
3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств
3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа неактуальная
3.2. Утечка информации через порты ввода/вывода актуальная
3.3. Воздействие вредоносных программ (вирусов) актуальная
3.4. Установка ПО, не связанного с исполнением служебных обязанностей актуальная
3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных неактуальная
3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему неактуальная
4. Угрозы несанкционированного доступа к информации по каналам связи
4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны неактуальная
4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. неактуальная
4.3. Угрозы выявления паролей по сети неактуальная
4.4. Угрозы типа «Отказ в обслуживании» неактуальная
4.5. Угрозы внедрения по сети вредоносных программ неактуальная
4.6.Утечка информации, передаваемой с использованием протоколов беспроводного доступа неактуальная
4.7. Перехват, модификация закрытого ключа ЭЦП неактуальная
4.8. Угрозы удаленного запуска приложений неактуальная
5. Угрозы антропогенного характера
5.1. Разглашение информации актуальная
5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов неактуальная
5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей неактуальная
5.4. Угроза нарушения политики предоставления и прекращения доступа неактуальная
5.5. Непреднамеренная модификация (уничтожение) информации неактуальная
5.6. Непреднамеренное отключение средств защиты неактуальная
6. Угрозы воздействия непреодолимых сил
6.1. Стихийное бедствие неактуальная
6.2. Выход из строя аппаратно-программных средств неактуальная
6.3. Аварии (пожар, потоп, случайное отключение электричества) неактуальная

Были выявлены следующие актуальные угрозы:

- кража физических носителей ключей и атрибутов доступа;

- утрата и компрометация ключей и атрибутов доступа;

- утечка информации через порты ввода/вывода;

- воздействие вредоносных программ (вирусов);

- установка ПО, не связанного с исполнением служебных обязанностей;

- разглашение информации.

Для снижения опасности реализации актуальных УБПДн рекомендуется осуществить следующие мероприятия:

- установка антивирусной защиты;

- парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;

- назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;

- инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа;

- осуществление резервирования ключевых элементов ИСПДн;

- изолирование портов ввода/вывода;

- организация разграничения прав пользователей на установку стороннего ПО, установку аппаратных средств, подключения мобильных устройств и внешних носителей, установку и настройку элементов ИСПДн и средств защиты.

Модель угроз безопасности

Исходный класс защищенности – средний

Таблица 8. Угрозы безопасности

Наименование угрозы Вероятность реализации угрозы (Y2) Возможность реализации угрозы (Y) Опасность угрозы Актуальность угрозы Меры по противодействию угрозе  
Технические Организационные  
1. Угрозы от утечки по техническим каналам  
1.1. Угрозы утечки акустической информации Маловероятно Низкая Низкая Неактуальная Виброгенераторы, генераторы шумов, звукоизоляция. Инструкция пользователя  
Технологический процесс  
1.2. Угрозы утечки видовой информации Маловероятно Низкая Низкая Неактуальная Жалюзи на окна Пропускной режим  
Инструкция пользователя  
1.3. Угрозы утечки информации по каналам ПЭМИН Маловероятно Низкая Низкая Неактуальная Генераторы пространственного зашумления Технологический процесс обработки  
Генератор шума по цепи электропитания Контур заземления  
2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа  
2.1. Кража и уничтожение носителей информации Маловероятно Низкая Низкая Неактуальная Охранная сигнализация Акт установки средств защиты  
Хранение в сейфе Учет носителей информации  
Шифрование данных    
2.2. Кража физических носителей ключей и атрибутов доступа Низкая Средняя Средняя Актуальная Хранение в сейфе Инструкция пользователя  
 
2.3. Утрата носителей информации Маловероятно Низкая Низкая Неактуальная     Инструкция пользователя  
Инструкция администратора безопасности  
2.4. Утрата и компрометация ключей и атрибутов доступа Низкая Средняя Средняя Актуальная   Инструкция пользователя  
Инструкция администратора безопасности  
3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств  
3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа Маловероятно Низкая Низкая Неактуальная Система защиты от НСД Акт установки средств защиты  
Разрешительная система допуска  
Технологический процесс обработки  
3.2. Утечка информации через порты ввода/вывода Низкая Средняя Средняя Актуальная Изолирование портов ввода/вывода Инструкция пользователя  
3.3. Воздействие вредоносных программ (вирусов) Низкая Средняя Средняя Актуальная Антивирусное ПО Инструкция пользователя  
Инструкция ответственного  
Инструкция администратора безопасности  
Технологический процесс обработки  
Инструкция по антивирусной защите  
Акт установки средств защиты  
3.4. Установка ПО не связанного с исполнением служебных обязанностей Низкая Средняя Средняя Актуальная   Инструкция пользователя  
Инструкция ответственного  
3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных Маловероятно Низкая Низкая Неактуальная   Сертификация    
3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему Маловероятно Низкая Низкая Неактуальная Система управления доступом Инструкция пользователя  
Инструкция ответственного  
Инструкция администратора безопасности  
4. Угрозы несанкционированного доступа к информации по каналам связи  
4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны Маловероятно Низкая Низкая Неактуальная Межсетевой экран Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. Маловероятно Низкая Низкая Неактуальная Межсетевой экран Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.3. Угрозы выявления паролей по сети Маловероятно Низкая Низкая Неактуальная Межсетевой экран Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.4. Угрозы типа «Отказ в обслуживании» Маловероятно Низкая Низкая Неактуальная Межсетевой экран Антивирусное ПО     Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Резервирование  
4.5. Угрозы внедрения по сети вредоносных программ Маловероятно Низкая Низкая Неактуальная Антивирусное ПО   Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.6. Утечка информации, передаваемой с использованием протоколов беспроводного доступа Маловероятно Низкая Низкая Неактуальная Шифрование информации Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.7. Перехват, модификация закрытого ключа ЭЦП Маловероятно Низкая Низкая Неактуальная Межсетевой экран Антивирусное ПО   Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
4.8. Угрозы удаленного запуска приложений Маловероятно Низкая Низкая Неактуальная Межсетевой экран Антивирусное ПО     Технологический процесс  
Инструкция пользователя  
Инструкция администратора безопасности  
Акт установки средств защиты  
5. Угрозы антропогенного характера  
5.1. Разглашение информации Низкая Средняя Средняя Актуальная   Договор о неразглашении  
Инструкция пользователя  
5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов Маловероятно Низкая Низкая Неактуальная   Договор о неразглашении  
Инструкция пользователя  
5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей Маловероятно Низкая Низкая Неактуальная   Договор о неразглашении  
Инструкция пользователя  
5.4. Угроза нарушения политики предоставления и прекращения доступа Маловероятно Низкая Низкая Неактуальная   Договор о неразглашении  
Инструкция пользователя  
5.5. Непреднамеренная модификация (уничтожение) информации Маловероятно Низкая Низкая Неактуальная Настройка средств защиты Резервное копирование  
5.6. Непреднамеренное отключение средств защиты   Маловероятно   Низкая   Низкая   Неактуальная   Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности   Инструкция пользователя  
Инструкция администратора безопасности  
6. Угрозы воздействия непреодолимых сил  
6.1. Стихийное бедствие Маловероятно Низкая Низкая Неактуальная Пожарная сигнализация Инструкции по безопасности  
6.2. Выход из строя аппаратно-программных средств Маловероятно Низкая Низкая Неактуальная Устройство бесперебойного питания Резервирование  
Инструкции по безопасности  
6.3. Аварии (пожар, потоп, случайное отключение электричества) Маловероятно Низкая Низкая Неактуальная Пожарная сигнализация   Инструкции по безопасности  

Заключение

В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональных данных – ИСПДн «Школьный офис» классифицируется как специальная ИСПДн класса K4.

Аттестация ИСПДн «Школьный офис» не требуется.

Наши рекомендации