Определение актуальности угроз в ИСПДн
В соответствии с правилами отнесения угрозы безопасности к актуальной, для ИСПДн определяются актуальные и неактуальные угрозы.
Таблица 6. Правила определения актуальности УБПДн
| Возможность реализации угрозы | Показатель опасности угрозы | ||
| Низкая | Средняя | Высокая | |
| Низкая | неактуальная | неактуальная | актуальная |
| Средняя | неактуальная | актуальная | актуальная |
| Высокая | актуальная | актуальная | актуальная |
| Очень высокая | актуальная | актуальная | актуальная |
Оценка актуальности угроз безопасности представлена в таблице.
Таблица 7. Актуальность УБПДн
| Тип угроз безопасности ПДн | Опасность угрозы |
| 1. Угрозы от утечки по техническим каналам. | |
| 1.1. Угрозы утечки акустической информации | неактуальная |
| 1.2. Угрозы утечки видовой информации | неактуальная |
| 1.3. Угрозы утечки информации по каналам ПЭМИН | неактуальная |
| 2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа | |
| 2.1. Кража и уничтожение носителей информации | неактуальная |
| 2.2. Кража физических носителей ключей и атрибутов доступа | актуальная |
| 2.3. Утрата носителей информации | неактуальная |
| 2.4. Утрата и компрометация ключей и атрибутов доступа | актуальная |
| 3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств | |
| 3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа | неактуальная |
| 3.2. Утечка информации через порты ввода/вывода | актуальная |
| 3.3. Воздействие вредоносных программ (вирусов) | актуальная |
| 3.4. Установка ПО, не связанного с исполнением служебных обязанностей | актуальная |
| 3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных | неактуальная |
| 3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему | неактуальная |
| 4. Угрозы несанкционированного доступа к информации по каналам связи | |
| 4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны | неактуальная |
| 4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | неактуальная |
| 4.3. Угрозы выявления паролей по сети | неактуальная |
| 4.4. Угрозы типа «Отказ в обслуживании» | неактуальная |
| 4.5. Угрозы внедрения по сети вредоносных программ | неактуальная |
| 4.6.Утечка информации, передаваемой с использованием протоколов беспроводного доступа | неактуальная |
| 4.7. Перехват, модификация закрытого ключа ЭЦП | неактуальная |
| 4.8. Угрозы удаленного запуска приложений | неактуальная |
| 5. Угрозы антропогенного характера | |
| 5.1. Разглашение информации | актуальная |
| 5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов | неактуальная |
| 5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей | неактуальная |
| 5.4. Угроза нарушения политики предоставления и прекращения доступа | неактуальная |
| 5.5. Непреднамеренная модификация (уничтожение) информации | неактуальная |
| 5.6. Непреднамеренное отключение средств защиты | неактуальная |
| 6. Угрозы воздействия непреодолимых сил | |
| 6.1. Стихийное бедствие | неактуальная |
| 6.2. Выход из строя аппаратно-программных средств | неактуальная |
| 6.3. Аварии (пожар, потоп, случайное отключение электричества) | неактуальная |
Были выявлены следующие актуальные угрозы:
- кража физических носителей ключей и атрибутов доступа;
- утрата и компрометация ключей и атрибутов доступа;
- утечка информации через порты ввода/вывода;
- воздействие вредоносных программ (вирусов);
- установка ПО, не связанного с исполнением служебных обязанностей;
- разглашение информации.
Для снижения опасности реализации актуальных УБПДн рекомендуется осуществить следующие мероприятия:
- установка антивирусной защиты;
- парольная политика, устанавливающая обязательную сложность и периодичность смены пароля;
- назначить ответственного за безопасность персональных данных из числа сотрудников учреждения;
- инструкции пользователей ИСПДн, в которых отражены порядок безопасной работы с ИСПДн, а так же с ключами и атрибутами доступа;
- осуществление резервирования ключевых элементов ИСПДн;
- изолирование портов ввода/вывода;
- организация разграничения прав пользователей на установку стороннего ПО, установку аппаратных средств, подключения мобильных устройств и внешних носителей, установку и настройку элементов ИСПДн и средств защиты.
Модель угроз безопасности
Исходный класс защищенности – средний
Таблица 8. Угрозы безопасности
| Наименование угрозы | Вероятность реализации угрозы (Y2) | Возможность реализации угрозы (Y) | Опасность угрозы | Актуальность угрозы | Меры по противодействию угрозе | ||
| Технические | Организационные | ||||||
| 1. Угрозы от утечки по техническим каналам | |||||||
| 1.1. Угрозы утечки акустической информации | Маловероятно | Низкая | Низкая | Неактуальная | Виброгенераторы, генераторы шумов, звукоизоляция. | Инструкция пользователя | |
| Технологический процесс | |||||||
| 1.2. Угрозы утечки видовой информации | Маловероятно | Низкая | Низкая | Неактуальная | Жалюзи на окна | Пропускной режим | |
| Инструкция пользователя | |||||||
| 1.3. Угрозы утечки информации по каналам ПЭМИН | Маловероятно | Низкая | Низкая | Неактуальная | Генераторы пространственного зашумления | Технологический процесс обработки | |
| Генератор шума по цепи электропитания | Контур заземления | ||||||
| 2. Угрозы несанкционированного доступа к информации путем физического доступа к элементам ИСПДн, носителям персональных данных, ключам и атрибутам доступа | |||||||
| 2.1. Кража и уничтожение носителей информации | Маловероятно | Низкая | Низкая | Неактуальная | Охранная сигнализация | Акт установки средств защиты | |
| Хранение в сейфе | Учет носителей информации | ||||||
| Шифрование данных | |||||||
| 2.2. Кража физических носителей ключей и атрибутов доступа | Низкая | Средняя | Средняя | Актуальная | Хранение в сейфе | Инструкция пользователя | |
| 2.3. Утрата носителей информации | Маловероятно | Низкая | Низкая | Неактуальная | Инструкция пользователя | ||
| Инструкция администратора безопасности | |||||||
| 2.4. Утрата и компрометация ключей и атрибутов доступа | Низкая | Средняя | Средняя | Актуальная | Инструкция пользователя | ||
| Инструкция администратора безопасности | |||||||
| 3. Угрозы несанкционированного доступа к информации с использованием программно-аппаратных и программных средств | |||||||
| 3.1. Доступ к информации, ее модификация и уничтожение лицами, не имеющими прав доступа | Маловероятно | Низкая | Низкая | Неактуальная | Система защиты от НСД | Акт установки средств защиты | |
| Разрешительная система допуска | |||||||
| Технологический процесс обработки | |||||||
| 3.2. Утечка информации через порты ввода/вывода | Низкая | Средняя | Средняя | Актуальная | Изолирование портов ввода/вывода | Инструкция пользователя | |
| 3.3. Воздействие вредоносных программ (вирусов) | Низкая | Средняя | Средняя | Актуальная | Антивирусное ПО | Инструкция пользователя | |
| Инструкция ответственного | |||||||
| Инструкция администратора безопасности | |||||||
| Технологический процесс обработки | |||||||
| Инструкция по антивирусной защите | |||||||
| Акт установки средств защиты | |||||||
| 3.4. Установка ПО не связанного с исполнением служебных обязанностей | Низкая | Средняя | Средняя | Актуальная | Инструкция пользователя | ||
| Инструкция ответственного | |||||||
| 3.5. Внедрение или сокрытие недекларированных возможностей системного ПО и ПО для обработки персональных данных | Маловероятно | Низкая | Низкая | Неактуальная | Сертификация | ||
| 3.6. Создание учетных записей теневых пользователей и неучтенных точек доступа в систему | Маловероятно | Низкая | Низкая | Неактуальная | Система управления доступом | Инструкция пользователя | |
| Инструкция ответственного | |||||||
| Инструкция администратора безопасности | |||||||
| 4. Угрозы несанкционированного доступа к информации по каналам связи | |||||||
| 4.1. Угроза «Анализ сетевого трафика» с перехватом информации за пределами контролируемой зоны | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.2. Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.3. Угрозы выявления паролей по сети | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.4. Угрозы типа «Отказ в обслуживании» | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран Антивирусное ПО | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Резервирование | |||||||
| 4.5. Угрозы внедрения по сети вредоносных программ | Маловероятно | Низкая | Низкая | Неактуальная | Антивирусное ПО | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.6. Утечка информации, передаваемой с использованием протоколов беспроводного доступа | Маловероятно | Низкая | Низкая | Неактуальная | Шифрование информации | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.7. Перехват, модификация закрытого ключа ЭЦП | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран Антивирусное ПО | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 4.8. Угрозы удаленного запуска приложений | Маловероятно | Низкая | Низкая | Неактуальная | Межсетевой экран Антивирусное ПО | Технологический процесс | |
| Инструкция пользователя | |||||||
| Инструкция администратора безопасности | |||||||
| Акт установки средств защиты | |||||||
| 5. Угрозы антропогенного характера | |||||||
| 5.1. Разглашение информации | Низкая | Средняя | Средняя | Актуальная | Договор о неразглашении | ||
| Инструкция пользователя | |||||||
| 5.2. Сокрытие ошибок и неправомерных действий пользователей и администраторов | Маловероятно | Низкая | Низкая | Неактуальная | Договор о неразглашении | ||
| Инструкция пользователя | |||||||
| 5.3. Угроза появления новых уязвимостей вследствие невыполнения ответственными лицами своих должностных обязанностей | Маловероятно | Низкая | Низкая | Неактуальная | Договор о неразглашении | ||
| Инструкция пользователя | |||||||
| 5.4. Угроза нарушения политики предоставления и прекращения доступа | Маловероятно | Низкая | Низкая | Неактуальная | Договор о неразглашении | ||
| Инструкция пользователя | |||||||
| 5.5. Непреднамеренная модификация (уничтожение) информации | Маловероятно | Низкая | Низкая | Неактуальная | Настройка средств защиты | Резервное копирование | |
| 5.6. Непреднамеренное отключение средств защиты | Маловероятно | Низкая | Низкая | Неактуальная | Доступ к установлению режимов работы средств защиты предоставляется только администратору безопасности | Инструкция пользователя | |
| Инструкция администратора безопасности | |||||||
| 6. Угрозы воздействия непреодолимых сил | |||||||
| 6.1. Стихийное бедствие | Маловероятно | Низкая | Низкая | Неактуальная | Пожарная сигнализация | Инструкции по безопасности | |
| 6.2. Выход из строя аппаратно-программных средств | Маловероятно | Низкая | Низкая | Неактуальная | Устройство бесперебойного питания | Резервирование | |
| Инструкции по безопасности | |||||||
| 6.3. Аварии (пожар, потоп, случайное отключение электричества) | Маловероятно | Низкая | Низкая | Неактуальная | Пожарная сигнализация | Инструкции по безопасности |
Заключение
В соответствии с Порядком проведения классификации информационных систем персональных данных утвержденного приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, на основании категории и объема обрабатываемых персональных данных – ИСПДн «Школьный офис» классифицируется как специальная ИСПДн класса K4.
Аттестация ИСПДн «Школьный офис» не требуется.