Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации Введение 3

Скачать 431.47 Kb.

Название	Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации Введение 3
страница	8/9
Дата публикации	08.03.2013
Размер	431.47 Kb.
Тип	Методические рекомендации

shkolnie.ru > Информатика > Методические рекомендации

1 2 3 4 5 6 7 8 9

Описание нарушителей (субъектов атак)

1) Различают шесть основных типов нарушителей: Н₁, Н₂, ... , Н₆.

Предполагается, что нарушители типа Н₅ и Н₆ могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК.

Возможности нарушителя типа Н_i+1 включают в себя возможности нарушителя типа Н_i (1

5).

Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Н_i (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Н_i (2

6).

2) Данный раздел модели нарушителя должен содержать:

перечень лиц, которые не рассматриваются в качестве потенциальных нарушителей, и обоснование этого перечня (при необходимости);
предположение о невозможности сговора нарушителей (для всех типов нарушителей) или предположения о возможном сговоре нарушителей и о характере сговора, включая перечисление дополнительных возможностей, которые могут использовать находящиеся в сговоре нарушители для подготовки и проведения атак (для нарушителей типа Н₄ - Н₆).

Примечание

Данный раздел модели нарушителя имеет следующее типовое содержание.

^ Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:

категория I – лица, не имеющие права доступа в контролируемую зону информационной системы;
категория II – лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.

Далее все потенциальные нарушители подразделяются на:

внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы;
внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы.

Констатируется, что:

внешними нарушителями могут быть как лица категория I, так и лица категория II;
внутренними нарушителями могут быть только лица категории II.

Дается описание привилегированных пользователей информационной системы (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных средств криптосредства и СФК, включая их настройку, конфигурирование и распределение ключевой документации между непривилегированными пользователями.

Далее следует обоснование исключения тех или иных типов лиц категории II из числа потенциальных нарушителей. Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей.

И, наконец, рассматривается вопрос о возможном сговоре нарушителей.
^

Предположения об имеющейся у нарушителя информации об объектах атак

Данный раздел модели нарушителя должен содержать:

предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация.
обоснованные ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они нарушителю недоступны).

Примечание

Обоснованные ограничения на степень информированности нарушителя могут существенно снизить требования к криптосредству при его разработке.

При определении ограничений на степень информированности нарушителя, в частности, должны быть рассмотрены следующие сведения:

содержание технической документации на технические и программные компоненты СФК;
долговременные ключи криптосредства;
все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.);
сведения о линиях связи, по которым передается защищаемая информация;
все сети связи, работающие на едином ключе;
все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;
все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК;
сведения, получаемые в результате анализа любых сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель.

Только нарушителям типа Н₃ - Н₆ могут быть известны все сети связи, работающие на едином ключе.

Только нарушители типа Н₅ - Н₆ располагают наряду с доступными в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения.

Только нарушители типа Н₆ располагают все документацией на криптосредство и СФК.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенным выше предположением о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак.

Разработчики модели угроз - специалисты в области защиты информации могут подготовить обоснованные ограничения на степень информированности нарушителя. Рекомендуется указанное ограничение делать только в случае необходимости разработки нового типа криптосредства.

1 2 3 4 5 6 7 8 9

Похожие:

	Положение об обеспечении безопасности персональных данных при их... Темах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных...		О порядке обработки персональных данных работников в моу «Средняя общеобразовательная школа №11» Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...
	На общем собрании Директор школы Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их...		Отраслевая частная модель угроз безопасности персональных данных... Угрозы безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (испдн) организаций...
	Рекомендации в области стандартизации банка россии Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций...		Об утверждении требований к защите персональных данных при их обработке... В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
	Приказ от 5 февраля 2010 г. N 58 об утверждении положения о методах... Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного...		Требования по обеспечению безопасности персональных данных при их...
	Приказ №174/1 от 25. 11. 2010 г Федерации от 17. 11. 2007 №781 Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных...		Федеральная служба безопасности российской федерации министерство... Правительства Российской Федерации от 17 ноября 2007 года n 781 "Об утверждении Положения об обеспечении безопасности персональных...

Вы можете разместить ссылку на наш сайт:
Школьные материалы