Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации

Скачать 159.08 Kb.

Название	Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации
Дата публикации	15.03.2014
Размер	159.08 Kb.
Тип	Документы

shkolnie.ru > Информатика > Документы

Проект

Отраслевая частная модель угроз безопасности персональных данных

при их обработке в информационных системах персональных данных

организаций банковской системы Российской Федерации
1. Общие положения

1.1. Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) организаций банковской системы Российской Федерации (БС РФ) - это:

- угроза нарушения доступности ПДн;

- угроза нарушения целостности ПДн;

- угроза нарушения конфиденциальности^¹ (неправомерное использование) ПДн, в том числе за счет хищения отчуждаемых машинных носителей с несанкционированно копированной информацией.

1.2. Отраслевая частная модель угроз безопасности персональных данных при их обработке в ИСПДн организаций БС РФ (далее – Отраслевая модель угроз) разработана на основе документов Федеральной службы по техническому и экспортному контролю "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных".

1.3. Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн (далее – актуальные угрозы безопасности ПДн).

Актуальная угроза безопасности ПДн – угроза безопасности ПДн, риск реализации которой воспринимается организацией БС РФ как недопустимый риск нарушения безопасности ПДн в соответствии с Оценкой рисков нарушения безопасности персональных данных, обрабатываемых в ИСПДн.

На основе актуальных угроз безопасности ПДн определяются требования по обеспечению безопасности ПДн, направленные на нейтрализацию этих угроз.

1.4. Отраслевая модель угроз содержит единые исходные данные по актуальным для организации БС РФ угрозам безопасности ПДн, связанным с несанкционированным, в том числе случайным, доступом в ИСПДн с целью ознакомления, изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с целью уничтожения или блокирования ПДн.

В рамках настоящей Отраслевой модели угроз под доступом к ПДн понимается ознакомление с ПДн, их обработка, в частности, копирование, модификация или уничтожение ПДн (в соответствии с Руководящим документом «Защита от несанкционированного доступа к информации. Термины и определения», Гостехкомиссия России.- М.: Воениздат,-1992).

К несанкционированному доступу (НСД) к ПДн при их обработке в ИСПДн, в частности, относится:

доступ к ПДн или действия с ПДн, нарушающие установленные права и (или) правила разграничения доступа с использованием штатных средств, предоставляемых ИСПДн;

несанкционированное воздействие на ресурсы ИСПДн, осуществляемое с использованием вредоносных программ (вредоносного кода).

1.5. Область применения Отраслевой модели угроз – ИСПДн организаций БС РФ, к которым относятся системы, целью создания и использования которых является обработка ПДн и которые представляют собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств^².
^ 2. Категории ПДн:

категория 1 – персональные данные, отнесенные в соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») к специальным категориям персональных данных;

категория 2 – персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным;

категория 3 – персональные данные, которые не могут быть отнесены к категории 1, категории 2 или категории 4;

категория 4 - персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к общедоступным или обезличенным персональным данным.
3. Перечень основных источников угроз безопасности ПДн:

неблагоприятные события природного и техногенного характера;
террористы, криминальные элементы;
компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
поставщики программно-технических средств, расходных материалов, услуг и т.п.;
подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт;
сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
сотрудники организации БС РФ, являющиеся легальными участниками процессов в ИСПДн и действующие в рамках предоставленных полномочий.

^ 4. Уровни информационной инфраструктуры, на которых возможна реализация угроз безопасности ПДн:

- физический уровень;

- сетевой уровень;

- уровень сетевых приложений и сервисов;

- уровень операционных систем;

- уровень систем управления базами данных;

- уровень банковских технологических процессов и приложений.

^ 5. Отраслевая модель угроз ПДн

Отраслевая модель угроз безопасности ПДн (Таблица) содержит обобщенное описание угроз безопасности ПДн для каждой категории ПДн, включающее:

источник угрозы безопасности ПДн;
угроза безопасности ПДн;
уровень реализации угрозы безопасности ПДн;
типы материальных объектов среды обработки ПДн (далее – типы объектов среды).

Таблица. Отраслевая модель угроз безопасности ПДн

№ п/п	Источник угрозы безопасности ПДн	Уровень реализации угрозы безопасности ПДн	^ Типы объектов среды	Угроза безопасности ПД
1	2	3	4	5
	ПДн категории 1, ПДн категории 2
	Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение целостности
		Уровень сетевых приложений и сервисов		Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение конфиденциальности
		Уровень банковских технологических приложений и сервисов		Нарушение целостности
	Поставщики программно-технических средств, расходных материалов, услуг и т.п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт	Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение конфиденциальности
		Уровень банковских технологических приложений и сервисов		Нарушение целостности
	Сотрудники, действующие в рамках предоставленных полномочий	Физический уровень	Линии связи, аппаратные и технические средства, сервера, физические носители информации	Нарушение конфиденциальности
		Физический уровень		Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение конфиденциальности
		Уровень банковских технологических приложений и сервисов		Нарушение целостности
	ПДн категории 3
	Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение целостности
		Уровень сетевых приложений и сервисов		Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	Сотрудники, действующие в рамках предоставленных полномочий	Физический уровень	Линии связи, аппаратные и технические средства, сервера, физические носители информации	Нарушение конфиденциальности
		Физический уровень		Нарушение целостности
		Сетевой уровень	Маршрутизаторы, коммутаторы, концентраторы	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень сетевых приложений и сервисов	Программные компоненты передачи данных по компьютерным сетям (сетевые сервисы)	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень банковских технологических приложений и сервисов		Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
	Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение конфиденциальности
				Нарушение целостности
				Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение конфиденциальности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение конфиденциальности
		Уровень банковских технологических приложений и сервисов		Нарушение целостности
	ПДн категории 4
	Компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение доступности
	Сотрудники, действующие в рамках предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень операционных систем	Файлы данных с ПДн	Нарушение доступности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение доступности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение целостности
		Уровень банковских технологических приложений и сервисов		Нарушение доступности
	Сотрудники, действующие вне рамок предоставленных полномочий	Уровень операционных систем	Файлы данных с ПДн	Нарушение целостности
		Уровень систем управления базами данных	Базы данных с ПДн	Нарушение целостности
		Уровень банковских технологических приложений и сервисов	Прикладные программы доступа и обработки ПДн, автоматизированные рабочие места ИСПДн	Нарушение целостности

1 Конфиденциальность ПДн – обязательное для соблюдения оператором или иным получившим доступ к ПДн лицом требование не допускать их распространение без согласия субъекта ПДн или иного законного основания (пункт 10 статьи 3 Федерального закона «О персональных данных»). Обеспечение конфиденциальности ПДн не требуется в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2 статьи 7 Федерального закона «О персональных данных»).

2 Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

	Рекомендации в области стандартизации банка россии Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций...		О порядке обработки персональных данных работников в моу «Средняя общеобразовательная школа №11» Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...
	Положение об обеспечении безопасности персональных данных при их... Темах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных...		На общем собрании Директор школы Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...
	Приказ от 5 февраля 2010 г. N 58 об утверждении положения о методах... Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного...		Об утверждении требований к защите персональных данных при их обработке... В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
	Методические рекомендации по обеспечению с помощью криптосредств... Описание информации, сопутствующей процессам создания и использования персональных данных 18		Федеральная служба безопасности российской федерации министерство... Правительства Российской Федерации от 17 ноября 2007 года n 781 "Об утверждении Положения об обеспечении безопасности персональных...
	Приказ №174/1 от 25. 11. 2010 г Федерации от 17. 11. 2007 №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных...		Обработке в информационных системах персональных данных В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет

Похожие: