Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации




Скачать 159.08 Kb.
НазваниеОтраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации
Дата публикации15.03.2014
Размер159.08 Kb.
ТипДокументы
shkolnie.ru > Информатика > Документы

Проект


Отраслевая частная модель угроз безопасности персональных данных

при их обработке в информационных системах персональных данных

организаций банковской системы Российской Федерации
1. Общие положения

1.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций банковской системы Российской Федерации (БС РФ) - это:

- угроза нарушения доступности ПДн;

- угроза нарушения целостности ПДн;

- угроза нарушения конфиденциальности1 (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.

1.2. Отраслевая частная модель угроз безопасности персональных данных при их обработке в ИСПДн организаций БС РФ (далее – Отраслевая модель угроз) разработана на основе документов Федеральной службы по техническому и экспортному контролю "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

1.3. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее – актуальные угрозы безопасности ПДн).

Актуальная угроза безопасности ПДн – угроза безопасности ПДн, риск реализации которой воспринимается организацией БС РФ как недопустимый риск нарушения безопасности ПДн в соответствии с Оценкой рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.

На основе актуальных угроз безопасности ПДн определяются требования по обеспечению безопасности ПДн, направленные на нейтрализацию этих угроз.

1.4. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.

В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимается ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом «Защита от несанкционированного доступа к информации. Термины и определения», Гостехкомиссия России.- М.: Воениздат,-1992).

К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относится:

доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;

несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).

1.5. Область применения Отраслевой модели угроз – ИСПДн организаций БС РФ, к которым относятся системы, целью создания и использования которых является обработка ПДн и которые представляют собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств2.
^ 2. Категории ПДн:

категория 1 – персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») к специальным категориям персональных данных;

категория 2 – персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным;

категория 3 – персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;

категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к общедоступным или обезличенным персональным данным.
3. Перечень основных источников угроз безопасности ПДн:

  • неблагоприятные события природного и техногенного характера;

  • террористы, криминальные элементы;

  • компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;

  • поставщики программно-технических средств, расходных материалов, услуг и т.п.;

  • подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт;

  • сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;

  • сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.


^ 4. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:

- физический уровень;

- сетевой уровень;

- уровень сетевых приложений и сервисов;

- уровень операционных систем;

- уровень систем управления базами данных;

- уровень банковских технологических процессов и приложений.

^ 5. Отраслевая модель угроз ПДн

Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:

  • источник угрозы безопасности ПДн;

  • угроза безопасности ПДн;

  • уровень реализации угрозы безопасности ПДн;

  • типы материальных объектов среды обработки ПДн (далее – типы объектов среды).

Таблица. Отраслевая модель угроз безопасности ПДн

п/п

Источник угрозы безопасности ПДн

Уровень реализации угрозы безопасности ПДн

^ Типы

объектов среды

Угроза безопасности ПД

1

2

3

4

5




ПДн категории 1,

ПДн категории 2












Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие

Сетевой уровень

Маршрутизаторы, коммутаторы, концентраторы

Нарушение целостности



Нарушение доступности



Уровень сетевых приложений и сервисов

Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)

Нарушение целостности



Нарушение доступности



Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение конфиденциальности



Нарушение целостности



Поставщики программно-технических средств, расходных материалов, услуг и т.п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт

Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение конфиденциальности



Нарушение целостности



Сотрудники, действующие в рамках предоставленных полномочий

Физический уровень

Линии связи, аппаратные и технические средства, сервера, физические носители информации

Нарушение конфиденциальности



Нарушение целостности



Сетевой уровень

Маршрутизаторы, коммутаторы, концентраторы

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень сетевых приложений и сервисов

Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Сотрудники, действующие вне рамок предоставленных полномочий

Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение конфиденциальности



Нарушение целостности




ПДн категории 3












Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие

Сетевой уровень

Маршрутизаторы, коммутаторы, концентраторы

Нарушение целостности



Нарушение доступности



Уровень сетевых приложений и сервисов

Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)

Нарушение целостности



Нарушение доступности



Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Сотрудники, действующие в рамках предоставленных полномочий

Физический уровень

Линии связи, аппаратные и технические средства, сервера, физические носители информации

Нарушение конфиденциальности



Нарушение целостности



Сетевой уровень

Маршрутизаторы, коммутаторы, концентраторы

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень сетевых приложений и сервисов

Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень банковских технологических приложений и сервисов




Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Сотрудники, действующие вне рамок предоставленных полномочий

Уровень операционных систем

Файлы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение конфиденциальности



Нарушение целостности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение конфиденциальности



Нарушение целостности




ПДн категории 4












Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие

Уровень операционных систем

Файлы данных с ПДн

Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение целостности



Нарушение доступности



Сотрудники, действующие в рамках предоставленных полномочий

Уровень операционных систем

Файлы данных с ПДн

Нарушение целостности



Нарушение доступности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение целостности



Нарушение доступности



Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение целостности



Нарушение доступности



Сотрудники, действующие вне рамок предоставленных полномочий

Уровень операционных систем

Файлы данных с ПДн

Нарушение целостности



Уровень систем управления базами данных

Базы данных с ПДн

Нарушение целостности







Уровень банковских технологических приложений и сервисов

Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн

Нарушение целостности





1 Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона «О персональных данных»). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона «О персональных данных»).

2 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».


Похожие:

Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconРекомендации в области стандартизации банка россии
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconО порядке обработки персональных данных работников в моу «Средняя общеобразовательная школа №11»
Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconПоложение об обеспечении безопасности персональных данных при их...
Темах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconНа общем собрании Директор школы
Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconПриказ от 5 февраля 2010 г. N 58 об утверждении положения о методах...
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconОб утверждении требований к защите персональных данных при их обработке...
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconМетодические рекомендации по обеспечению с помощью криптосредств...
Описание информации, сопутствующей процессам создания и использования персональных данных 18
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconФедеральная служба безопасности российской федерации министерство...
Правительства Российской Федерации от 17 ноября 2007 года n 781 "Об утверждении Положения об обеспечении безопасности персональных...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconПриказ №174/1 от 25. 11. 2010 г
Федерации от 17. 11. 2007 №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных...
Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации iconОбработке в информационных системах персональных данных
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Вы можете разместить ссылку на наш сайт:
Школьные материалы


При копировании материала укажите ссылку © 2014
shkolnie.ru
Главная страница