Model de amenințări la adresa securității informațiilor din Federația Rusă. Un model privat de amenințări la adresa securității informațiilor confidențiale pentru o bancă. în funcţie de nivelul de autoritate

Ele, la rândul lor, pot fi împărțite în autorizate și aleatorii. Pericolul extern poate veni de la teroriști, serviciile de informații străine, grupuri criminale, concurenți etc., care pot bloca, copia și chiar distruge informații care sunt valoroase pentru ambele părți.

Model de bază de amenințare

Amenințarea internă a scurgerii de informații este o amenințare creată de angajați o anumită întreprindere. Îl pot sparge cu permisiunea și îl pot folosi în scop personal. Acest lucru este posibil dacă compania nu are măsuri tehnice și control acces.

Dreptul la protecția informațiilor personale, garantat de Constituția Federației Ruse fiecărui cetățean.

Niveluri de protecție

Se sistemul de securitate a informațiilor poate avea patru. Vă rugăm să rețineți că alegerea fondurilor este determinată de operator pe baza reglementărilor (Partea 4 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”).

Cerințe necesare pentru a asigura al patrulea nivel de securitate a datelor cu caracter personal:

• organizația trebuie să creeze un regim care să împiedice intrarea persoanelor care nu au acces în incintă;
• este necesar să aveți grijă de siguranța dosarelor personale;
• managerul trebuie să aprobe operatorul, precum și documentele care conțin o listă a persoanelor cărora li se permite, datorită atribuțiilor lor oficiale, să acceseze informațiile confidențiale ale altor angajați;
• utilizarea instrumentelor de securitate a informațiilor care au fost supuse unei proceduri de evaluare în domeniul securității informațiilor.

Pentru a asigura al treilea nivel de securitate, este necesar să se respecte toate cerințele celui de-al patrulea nivelși se adaugă altul - este necesar un funcționar (angajat) responsabil cu asigurarea securității datelor cu caracter personal în.

Al doilea nivel de securitate se caracterizează prin prevederea că operatorul însuși sau un angajat ale cărui atribuții oficiale îi permit să aibă acces. Și, de asemenea, i se aplică toate cerințele celui de-al treilea nivel de securitate.

Și, în sfârșit, pentru a asigura primul nivel de securitate, este necesar să se respecte toate cerințele de mai sus și să se asigure respectarea următoarelor puncte:

• instalarea unui sistem în jurnalul electronic de securitate care ar putea înlocui automat accesul unui angajat în legătură cu o modificare a puterilor acestuia;
• numirea unei persoane responsabile (angajat) pentru asigurarea securității datelor cu caracter personal în sistemul informațional, sau atribuirea unor funcții de asigurare a acestei securități uneia dintre diviziile structurale.

Operatorul trebuie să efectueze inspecții de siguranță mai mult de o dată la trei ani.

El are dreptul de a încredința această problemă unei persoane juridice sau persoanelor care dețin o licență în acest sens prin încheierea unui acord cu acestea („Cerințe pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal din 1 noiembrie 2012 Nr. 1119”).

Asigurarea unui nivel ridicat de protecție

Legea acordă persoanelor juridice dreptul de a determina măsura în care informațiile lor confidențiale sunt protejate. Nu fi vulnerabil - ia măsurile necesare.

la prelucrarea acestora în sistemul informatic de date cu caracter personal

1. Dispoziții generale

Acest model special de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemul de informații cu date cu caracter personal „SKUD” din ___________ (denumit în continuare ISPDn) a fost dezvoltat pe baza:

1) „Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, aprobat la 15 februarie 2008 de directorul adjunct al FSTEC din Rusia;

2) „Metode de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”, aprobat la 14 februarie 2008 de directorul adjunct al FSTEC din Rusia;

3) GOST R 51275-2006 „Protecția informațiilor. Factorii care influențează informația. Dispoziții generale."

Modelul identifică amenințările la adresa securității datelor cu caracter personal prelucrate în sistemul de informații cu date cu caracter personal „SKUD”.

2. Lista amenințărilor care prezintă un potențial pericol pentru datele personale prelucrate în ispdn

Potențiale pericole pentru datele cu caracter personal (denumite în continuare PD) atunci când sunt prelucrate în ISPD sunt:

amenințările cu scurgeri de informații prin canale tehnice;

amenințări fizice;

amenințări cu acces neautorizat;

amenințări la adresa personalului.

1. Identificarea amenințărilor curente la adresa securității datelor cu caracter personal în timpul prelucrării în ispdn

3.1. Determinarea nivelului de securitate inițială a sursei de date

Nivelul de securitate inițial al ISPD a fost determinat printr-o metodă expertă în conformitate cu „Metodologia de determinare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” (denumită în continuare Metodologia), aprobată la data de 14 februarie 2008 de către directorul adjunct al FSTEC din Rusia. Rezultatele analizei inițiale de securitate sunt prezentate în Tabelul 1.

Tabelul 1. Nivel de securitate inițial

Caracteristicile tehnice și operaționale ale ISPDn	Nivel de securitate
	Înalt	In medie	Mic de statura
1. După teritorialplasare
ISPD local desfășurat într-o singură clădire
2. Prin conectarea la rețele publice
ISPDn, separat fizic de rețelele publice.
3. Pentru operațiuni (legale) încorporate cu înregistrări de baze de date PD
Citiți, scrieți, ștergeți
4. Prin restricționarea accesului la datele personale
ISPD, la care are acces o anumită listă de angajați ai organizației care deține ISPD, sau subiectul PD
5. Pe baza prezenței conexiunilor cu alte baze de date PD ale altor ISPD
ISPD, care utilizează o bază de date PD aparținând organizației care deține acest ISPD
6. După nivelul de generalizare (depersonalizare) a PD
ISPD, în care datele furnizate utilizatorului nu sunt anonimizate (adică există informații care vă permit să identificați subiectul PD)
7. După volumul datelor cu caracter personal, caresunt furnizate utilizatorilor ISPD terți fără preprocesare
ISPDn, oferind o parte din PDn
Caracteristicile ISPDn

Astfel, ISPDn are in medie (Y 1 =5 ) nivelul de securitate inițial, deoarece mai mult de 70% din caracteristicile ISPD corespund unui nivel de securitate nu mai mic decât „mediu”, dar mai puțin de 70% din caracteristicile ISPD corespund nivelului „înalt”.

Adnotare: Prelegerea examinează conceptele și clasificările vulnerabilităților și amenințărilor și examinează cele mai comune atacuri. Componența și conținutul documentației organizatorice și administrative pentru protecția datelor cu caracter personal.

4.1. Amenințări la securitatea informațiilor

La construirea unui sistem protecția datelor cu caracter personal(denumită în continuare SZPD) etapa cheie este construirea unui model de amenințare privată pentru o anumită organizație. Pe baza acestui model, sunt selectate ulterior mijloace de protecție adecvate și suficiente în conformitate cu principiile discutate în „Prelucrarea automatizată și neautomatizată a datelor cu caracter personal”.

Sub amenințări la adresa securității datelor cu caracter personal la prelucrarea lor în ISPD se înțeleg un set de condiții și factori care creează pericolul de neautorizat acces aleatoriu la datele cu caracter personal, al căror rezultat poate fi distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni neautorizate în timpul prelucrării acestora în sistemul informatic al datelor cu caracter personal.

Apariția amenințărilor de securitate poate fi asociată atât cu acțiuni intenționate ale atacatorilor, cât și cu acțiuni neintenționate ale personalului sau utilizatorilor ISPD.

Amenintari de securitate poate fi implementat în două moduri:

• prin canale de scurgeri tehnice;
• prin acces neautorizat.

O diagramă generalizată a implementării canalului de amenințare PD este prezentată în Figura 4.1

Orez. 4.1.

Canal tehnic de scurgere de informații– o combinație între un purtător de informații (mijloace de procesare), un mediu fizic pentru distribuirea unui semnal informativ și mijloacele prin care se obține informațiile protejate. Mediul de propagare poate fi omogen, de exemplu, numai aer la propagarea radiației electromagnetice, sau neomogen, atunci când semnalul trece dintr-un mediu în altul. Purtătorii PD pot fi persoane care lucrează cu ISPD, mijloace tehnice, mijloace auxiliare etc. Principalul lucru este că informațiile sunt afișate sub formă de câmpuri, semnale, imagini, caracteristici cantitative ale cantităților fizice.

De regulă, sunt identificate următoarele amenințări din cauza implementării canalelor tehnice de scurgere:

• amenințări cu scurgeri de informații despre vorbire. De fapt, atacatorul interceptează informații folosind echipamente speciale sub formă de unde acustice, vibroacustice, precum și radiații electromagnetice modulate de un semnal acustic. Ca mijloace pot fi utilizate diverse tipuri de dispozitive electronice, conectate fie la canale de comunicație, fie la mijloace tehnice de prelucrare a PD.
• amenințările cu scurgeri de informații despre specii. În acest caz, vorbim despre vizualizarea directă a PD în prezența vizibilității directe între dispozitivul de supraveghere și purtătorul PD. Mijloacele optice și marcajele video sunt folosite ca instrumente de supraveghere;
• amenințările de scurgere de informații prin canalele de radiații și interferențe electromagnetice laterale (PEMIN). Vorbim despre interceptarea câmpurilor electromagnetice informative și semnalelor electrice laterale (care nu are legătură cu sensul funcțional direct al elementelor ISPD) care apar în timpul procesării PD prin mijloace tehnice ISPD. Pentru înregistrarea PEMIN se folosesc echipamente formate din receptoare radio și dispozitive de recuperare a informațiilor terminale. În plus, interceptarea PEMIN este posibilă folosind dispozitive electronice de interceptare a informațiilor conectate la canale de comunicare sau mijloace tehnice de procesare a PD. Inducerea radiațiilor electromagnetice are loc atunci când elementele mijloacelor tehnice ISPD emit semnale informative în prezența conexiunilor capacitive, inductive sau galvanice între liniile de legătură ale mijloacelor tehnice ISPD și diverse dispozitive auxiliare.

Surse de amenințări, realizat prin acces neautorizat la bazele de date folosind software standard sau special dezvoltat, sunt subiecți ale căror acțiuni le încalcă pe cele reglementate în ISPD reguli de control al accesului la informare. Aceste entități pot fi:

• intrus;
• purtător de programe malware;
• marcaj hardware.

Sub violatorîn continuare ne referim la o persoană fizică (persoane) care comite accidental sau intenționat acțiuni care au ca rezultat o încălcare a securității datelor cu caracter personal atunci când sunt prelucrate prin mijloace tehnice în sistemele informaționale. Din punctul de vedere al deținerii dreptului de acces legal la incinta în care se află hardware, oferind acces la resursele ISPD, infractorii sunt împărțiți în două tipuri:

• contravenienții care nu au acces la ISPD și implementează amenințări din rețelele publice externe de comunicații și (sau) rețelele internaționale de schimb de informații sunt contravenienți externi;
• Încalcătorii care au acces la ISPD, inclusiv utilizatorii ISPD care implementează amenințări direct în ISPD, sunt infractori interni.

Pentru ISPD-urile care furnizează servicii de informare utilizatorilor la distanță, contravenienții externi pot fi persoane care au capacitatea de a efectua acces neautorizat la informații folosind influențe software speciale, marcaje algoritmice sau software prin stații de lucru automate, dispozitive terminale ISPD conectat la rețele publice.

Să rezumam cunoștințele acumulate folosind figura 4.2.

Orez. 4.2.

Amenințările pot fi clasificate în funcție de diverse criterii, de exemplu, după tipul de încălcare proprietățile informațiilor ( confidențialitatea, integritate, disponibilitate), după tipul de ISPD către care este îndreptat atacul, după tipul de vulnerabilitate utilizat pentru atac.

4.2. Caracteristici generale ale vulnerabilităților sistemului de informații cu date personale

Apariția unor potențiale amenințări la securitate este asociată cu prezența unor puncte slabe în ISPD - vulnerabilități. Vulnerabilitatea sistemului informatic de date cu caracter personal– o deficiență sau o slăbiciune în sistemul sau aplicația software (hardware și software) al ISPD, care poate fi utilizată pentru implementarea amenintari de securitate date personale.

Cauzele vulnerabilităților în cazul general sunt:

1. erori în dezvoltarea software-ului;
2. modificări deliberate ale software-ului pentru a introduce vulnerabilități;
3. setări software incorecte;
4. introducerea neautorizată de programe rău intenționate;
5. acțiuni neintenționate ale utilizatorilor;
6. defecțiuni ale software-ului și hardware-ului.

Vulnerabilitățile, precum amenințările, pot fi clasificate în funcție de diferite criterii:

1. după tipul de software - sistem sau aplicație.
2. de etapa ciclului de viață al software-ului la care a apărut vulnerabilitatea - proiectare, exploatare etc.
3. din cauza vulnerabilităților, de exemplu, deficiențe în mecanismele de autentificare a protocolului de rețea.
4. în funcție de natura consecințelor implementării atacurilor - modificarea drepturilor de acces, selectarea parolei, dezactivarea sistemului în ansamblu etc.

Cele mai frecvent utilizate vulnerabilități se referă la protocoalele de comunicare în rețea și la sistemele de operare, inclusiv la aplicațiile software.

În special, vulnerabilitățile sistemului de operare și ale aplicațiilor software pot include:

• funcții, proceduri, modificarea parametrilor cărora într-un anumit mod le permite să fie utilizate pentru acces neautorizat fără ca sistemul de operare să detecteze astfel de modificări;
• fragmente de cod de program („găuri”, „capcane”) introduse de dezvoltator, permițând ocolirea procedurilor de identificare, autentificare, verificare a integrității etc.;
• lipsa măsurilor de securitate necesare (autentificarea, verificarea integrității, verificarea formatelor mesajelor, blocarea funcțiilor modificate neautorizate etc.);
• erori în programe (în declararea variabilelor, funcțiilor și procedurilor, în codurile programelor), care în anumite condiții (de exemplu, la efectuarea tranzițiilor logice) duc la defecțiuni, inclusiv defecțiuni în funcționarea instrumentelor și sistemelor de securitate a informațiilor.

Vulnerabilitățile protocoalelor de comunicare în rețea sunt asociate cu caracteristicile implementării lor software și se datorează restricțiilor privind dimensiunea buffer-ului utilizat, deficiențelor în procedura de autentificare, lipsei de verificări pentru corectitudinea informațiilor de serviciu etc. De exemplu, FTP-ul Protocolul de nivel de aplicație, utilizat pe scară largă pe Internet, realizează autentificarea pe baza de text clar, permițând astfel interceptarea datelor contului.

Înainte de a începe construirea unui sistem de securitate a informațiilor, este necesar să se efectueze analiza vulnerabilitatii ISPD și încearcă să le reducă numărul, adică folosește metoda preventivă. Puteți închide porturile inutile, puteți instala patch-uri software(de exemplu, pachetul de servicii pentru Windows), introduceți metode de autentificare mai puternice etc. Aceste măsuri pot reduce semnificativ costurile cu materialele, timpul și forța de muncă pentru construirea sistemului protecția datelor cu caracter personal mai departe.

4.3. Cele mai des implementate amenințări

Datorită dezvoltării pe scară largă a Internetului, atacurile sunt cel mai adesea efectuate folosind vulnerabilități în protocoalele de comunicare în rețea. Să ne uităm la cele 7 cele mai frecvente atacuri.

1. Analiza traficului în rețea

   Acest tip de atac vizează în primul rând obținerea unei parole și a unui ID de utilizator prin „ascultarea rețelei”. Acest lucru este implementat folosind un sniffer - un program special de analiză care interceptează toate pachetele care călătoresc prin rețea. Și dacă un protocol, cum ar fi FTP sau TELNET, transmite informații de autentificare în text clar, atunci un atacator poate obține cu ușurință acces la contul de utilizator.

   

   
   Orez. 4.3.
2. Scanare în rețea

   Esența acestui atac este colectarea de informații despre topologia rețelei, porturile deschise, protocoalele utilizate etc. De regulă, implementarea acestei amenințări precede acțiunile ulterioare ale atacatorului folosind datele obținute ca urmare a scanării.

3. Amenințare de dezvăluire a parolei

   Scopul atacului este de a depăși protecția prin parolă și de a obține acces neautorizat la informațiile altcuiva. Există o mulțime de metode pentru a fura o parolă: pur și simplu încercarea tuturor valorilor posibile ale parolei, forța brută folosind programe speciale (atac de dicționar), interceptarea parolei folosind un program de analiză a traficului de rețea.

4. Înlocuirea unui obiect de rețea de încredere și transmiterea mesajelor prin canale de comunicație în numele acestuia cu atribuirea drepturilor sale de acces. Un obiect de încredere este un element de rețea care este conectat legal la server.

   Această amenințare este implementată eficient în sistemele care utilizează algoritmi slabi pentru identificarea și autentificarea gazdelor, utilizatorilor etc.

   Se pot distinge două tipuri de proces de implementare a acestei amenințări: cu și fără stabilirea unei conexiuni virtuale.

   Procesul de implementare cu stabilirea unei conexiuni virtuale constă în atribuirea de drepturi subiect de încredere interacțiune, care permite unui atacator să conducă o sesiune cu un obiect de rețea în numele lui subiect de încredere. Implementarea unei amenințări de acest tip necesită depășirea sistemului de identificare și autentificare a mesajelor (de exemplu, un atac asupra serviciului rsh al unei gazde UNIX).

   Procesul de implementare a unei amenințări fără a stabili o conexiune virtuală poate avea loc în rețele care identifică mesajele transmise numai după adresa de rețea a expeditorului. Esența este transmiterea mesajelor de serviciu în numele dispozitivelor de control al rețelei (de exemplu, în numele routerelor) despre modificările datelor de adrese de rutare.

   Ca urmare a implementării amenințării, intrusul primește drepturile de acces stabilite de utilizatorul său pentru abonatul de încredere la mijloacele tehnice ISPD - ținta amenințărilor.

5. Impunerea unei rute de rețea false

   Acest atac a fost posibil datorită deficiențelor în protocoalele de rutare (RIP, OSPF, LSP) și managementul rețelei (ICMP, SNMP), cum ar fi autentificarea slabă a routerului. Esența atacului este că atacatorul, folosind vulnerabilitățile protocolului, face modificări neautorizate în tabelele de rutare și adrese.

6. Injecție de obiecte de rețea false

   Când inițial obiectele de rețea nu cunosc informații unul despre celălalt, apoi pentru a construi tabele de adrese și interacțiunea ulterioară, se utilizează un mecanism de solicitare (de obicei difuzat) - un răspuns cu informațiile necesare. Mai mult, dacă un atacator interceptează o astfel de solicitare, el poate emite un răspuns fals, poate schimba tabelul de rutare a întregii rețele și poate uzurpa identitatea unei entități de rețea legitime. În viitor, toate pachetele direcționate către o entitate legitimă vor trece prin atacator.

7. Refuzarea serviciului

   Acest tip de atac este unul dintre cele mai frecvente astăzi. Scopul unui astfel de atac este refuzul serviciului, adică întreruperea disponibilității informațiilor pentru subiecții legitimi ai schimbului de informații.

Se pot distinge mai multe tipuri de astfel de amenințări:

• refuzarea ascunsă a serviciului cauzată de utilizarea unei părți din resursele ISPD pentru a procesa pachetele transmise de atacator, reducerea capacității canalelor de comunicație, performanța dispozitivelor din rețea și încălcarea cerințelor privind timpul de procesare a cererilor. Exemple de implementare a amenințărilor de acest fel includ: o furtună direcționată de solicitări ecou prin protocolul ICMP (Ping flooding), o furtună de solicitări de stabilire a conexiunilor TCP (SYN-flooding), o furtună de solicitări către serverul FTP;
• refuz evident de serviciu cauzat de epuizarea resurselor ISPD la procesarea pachetelor transmise de un atacator (ocuparea întregii lățimi de bandă a canalelor de comunicație, overflow). cozi de solicitare pentru service), în care cererile legitime nu pot fi transmise prin rețea din cauza indisponibilității mediului de transmisie sau li se refuză serviciul din cauza depășirii cozi de solicitare, spațiu pe disc, memorie etc. Exemple de amenințări de acest tip includ o furtună de cereri de ecou ICMP difuzate (Smurf), o furtună direcționată (SYN-flooding), o furtună de mesaje către un server de e-mail (Spam);
• refuz evident de serviciu cauzat de o încălcare a conectivității logice între mijloacele tehnice ISDN atunci când infractorul transmite mesaje de control în numele dispozitivelor de rețea, ceea ce duce la modificări ale datelor de rutare și adrese (de exemplu, gazdă de redirecționare ICMP, inundare DNS) sau identificare și autentificare informație;
• o refuzare evidentă a serviciului cauzată de un atacator care transmite pachete cu atribute nestandard (amenințări precum „Land”, „TearDrop”, „Bonk”, „Nuke”, „UDP-bomb”) sau având o lungime care depășește dimensiunea maximă admisă (amenințare precum „Ping” Death”), care poate duce la o defecțiune a dispozitivelor din rețea implicate în procesarea cererilor, cu condiția să existe erori în programele care implementează protocoale de comunicare în rețea.

Rezultatul implementării acestei amenințări poate fi o întrerupere a funcționalității serviciului corespunzător de furnizare a accesului de la distanță la date din ISPD, transmiterea de la o adresă a unui astfel de număr de solicitări de conectare la o facilitate tehnică ca parte a ISPD, care poate „acomoda” cât mai mult traficul (o „furtună de solicitări”) direcționată, care presupune o depășire a cozii de solicitare și defectarea unuia dintre serviciile de rețea sau oprirea completă a computerului din cauza incapacitatea sistemului de a face altceva decât procesarea cererilor.

Am analizat cele mai frecvente amenințări implementate în timpul interacțiunii cu rețeaua. În practică, există mult mai multe amenințări. Modelul privat de amenințări la securitate este construit pe baza a două documente FSTEC - „Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informaționale de date cu caracter personal” și „ Metodologie de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în ISPD”. Dacă organizația este mare și are mai multe sisteme ISPD, cea mai rezonabilă soluție ar fi implicarea specialiștilor calificați de la companii terțe pentru a construi un model de amenințare privată și a proiecta ISPD.

4.4. Documentatie organizatorica si administrativa pentru protectia datelor cu caracter personal

Pe lângă soluțiile tehnice și procedurale ale sistemului creat protecția datelor cu caracter personal, operatorul trebuie să asigure elaborarea documentelor organizatorice și administrative care să reglementeze toate aspectele emergente legate de asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în ISPD și funcționarea sistemului. protecția datelor cu caracter personal(denumită în continuare SZPD). Există destul de multe astfel de documente, principalele sunt:

1. Reglementări privind asigurarea securității PD. Acesta este un document intern (local) al organizației. Nu există o formă strictă pentru acest document, dar trebuie să îndeplinească cerințele Codului Muncii și Legii Federale-152 și, prin urmare, trebuie să indice:

• scop și obiective în zonă protecția datelor cu caracter personal;
• conceptul și componența datelor cu caracter personal;
• în ce unități structurale și pe ce suporturi (hârtie, electronice) sunt acumulate și stocate aceste date;
• cum sunt colectate și stocate datele cu caracter personal;
• modul în care sunt prelucrate și utilizate;
• care (după funcție) în cadrul companiei are acces la acestea;
pentru impozite, departamentul de contabilitate nu va primi toate informațiile despre angajat, ci doar date despre numărul persoanelor aflate în întreținerea acestuia). Prin urmare, este recomandabil să scrieți o listă cu resursele informaționale la care utilizatorii au voie.

Lista persoanelor autorizate să prelucreze date cu caracter personal poate fi întocmită ca anexă la Reglementările privind asigurarea securității datelor cu caracter personal sau ca document separat aprobat de manager.

3. Model parțial de amenințare (dacă există mai multe ISPD, atunci se dezvoltă un model de amenințare pentru fiecare dintre ele) - dezvoltat pe baza rezultatelor unui sondaj preliminar. FSTEC din Rusia oferă un model de bază de amenințări la adresa securității datelor cu caracter personal atunci când le prelucrează în sistemele de informații cu date cu caracter personal, conform căruia la crearea unui model privat ar trebui să se ia în considerare următoarele:

• amenințările cu scurgeri de informații prin canale tehnice;
• amenințările de acces neautorizat asociate cu acțiunile infractorilor care au acces la ISPD și implementează amenințări direct în ISPD. În acest caz, este necesar să se considere utilizatorii legali ai ISPD drept potențiali încălcări;
• amenințări de acces neautorizat asociate cu acțiunile contravenienților care nu au acces la ISPD, implementarea amenințărilor din rețele publice externe de comunicații și (sau) rețele internaționale de schimb de informații.

Modelul de amenințare dezvoltat este aprobat de manager.

4. Pe baza modelului de amenințare aprobat al ISPD, este necesar să se elaboreze cerințe pentru a asigura securitatea datelor cu caracter personal atunci când sunt prelucrate în ISPD. Cerințele, precum modelul de amenințare, sunt un document independent care trebuie aprobat de șeful organizației.

Pentru a dezvolta un model de amenințări și cerințe, este recomandabil ca operatorul să implice specialiști din organizațiile licențiate FSTEC.

5. Instrucțiuni privind asigurarea securității datelor cu caracter personal în timpul prelucrării acestora în ISPD.

Am analizat doar principalele documente organizatorice și administrative. Pe lângă documentele enumerate, este necesar să se întocmească un Act de clasificare ISPD, un pașaport tehnic ISPD, un jurnal electronic de înregistrare a cererilor de PD ale utilizatorilor ISPD, un regulament privind delimitarea drepturilor de acces, ordine de numire a persoane care lucrează cu ISPD etc.

În plus, înainte de a lua toate măsurile de protecție a datelor cu caracter personal, operatorul trebuie să numească un funcționar sau (dacă ISPD-ul este suficient de mare) o unitate structurală responsabilă cu asigurarea securității datelor cu caracter personal. Decizia privind numirea se formalizează prin ordin al șefului. Sarcinile, funcțiile și atribuțiile funcționarului (unității) responsabil cu asigurarea securității PD sunt determinate de documente interne organizatorice și administrative (fișe de post, regulamente).

Vladivostok, 201_

Denumiri și abrevieri. 3

Client și interpret. 4

1. Dispoziții generale. 5

2. Descrierea sistemului informatic.. 7

3. Descrierea amenințărilor Sistemul Naim 8

3.1. Modelul intrusului. 8

3.2. Capacitățile generalizate ale surselor de atac Sistemul Naim.. 13

3.3. Relevanța utilizării capacităților intrusului și a vectorilor de atac. 16

3.4. Descrierea posibilelor vulnerabilități în NAIM SYSTEM 22

3.5. Amenințări la adresa securității informațiilor SISTEMUL NAIM 25

3.5.1. Amenințări de scurgere prin canale tehnice.. 26

3.5.2. Amenințări ale NSD la adresa PD în SISTEMUL NAIM 29

3.6. Determinarea relevanței amenințărilor la adresa securității informațiilor SISTEMUL NAIM 73

3.6.1. Nivelul inițial de securitate. 73

3.6.2. Algoritm pentru determinarea UBI curent... 74

3.6.3. Relevanța UBI.. 75

3.6.4. Lista amenințărilor actuale. 83

Surse de dezvoltare. 87

Notații și abrevieri

AWS	Stație de lucru automatizată
AC	Hardware
VTSS	Mijloace și sisteme tehnice auxiliare
IP	Sistem informatic
scurt circuit	Zona controlata
NSD	Acces neautorizat
OS	sistem de operare
PDn	Informații personale
DE	Software
PEMIN	Radiații electromagnetice străine și interferențe
SVT	Tehnologia calculatoarelor
SZI	Instrument de securitate a informațiilor
CIPF	Sistem de protecție a informațiilor criptografice
SF	Mediul de operare
UBI	Amenințare la securitatea informațiilor
FSB	Serviciul Federal de Securitate
FSTEC	Serviciul Federal de Control Tehnic și Export

Client și interpret

Adresă: adresa organizației.

Antreprenorul este: Societate cu Răspundere Limitată „Sisteme de Securitate Informațională” (denumire prescurtată – SRL „SIB”).

Adresa: 630009, Novosibirsk, st. Dobrolyubova, 16.

Dispoziții generale

Acest model identifică amenințările curente la adresa securității datelor în timpul procesării lor în sistemul de informații prescurtat Naim org și ar trebui utilizat atunci când se specifică cerințele pentru sistemul de securitate a informațiilor din sistemul de informații specificat.

Acest model de amenințare a fost dezvoltat pe baza datelor din Raportul analitic privind un sondaj al sistemului informațional de stat „Naim Sist” al Departamentului de Educație și Știință al Teritoriului Primorsky și Banca de date privind amenințările la securitatea informațiilor a FSTEC din Rusia.

Pentru a dezvolta modelul de amenințare al organizației GIS Naim prescurtat, au fost utilizate următoarele documente și standarde normative și metodologice:

1. Legea federală din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologiile informației și protecția informațiilor”;

3. Ordinul FSTEC al Rusiei din 11 februarie 2013 nr. 17 „Cu privire la aprobarea cerințelor de protecție a informațiilor care nu constituie secret de stat conținute în sistemele informaționale de stat”;

4. Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”;

5. Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal (Aprobat de directorul adjunct al FSTEC din Rusia la 15 februarie 2008);

6. Recomandări metodologice pentru elaborarea actelor juridice de reglementare care definesc amenințările la adresa securității informațiilor cu caracter personal care sunt relevante la prelucrarea datelor cu caracter personal în sistemele de informare cu date cu caracter personal operate în implementarea unor tipuri relevante de activități, aprobate de conducerea a 8-a. centrul FSB al Rusiei la 31 martie 2015 Nr. 149/7/2 /6-432;

7. Ordinul FSB al Rusiei din 10 iulie. 2014 Nr. 378 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu caracter personal, folosind instrumente de protecție a informațiilor criptografice necesare pentru îndeplinirea cerințelor stabilite de Guvernul Federației Ruse pentru protecția datelor cu caracter personal pentru fiecare nivel de securitate” (înregistrat la Ministerul Justiției din Rusia la 18 august 2014 Nr. 33620);

8. Metodologie de determinare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal (Aprobat de directorul adjunct al FSTEC din Rusia la 14 februarie 2008).

Modelul de amenințare este format și aprobat de operator și poate fi revizuit:

· prin decizie a operatorului pe baza analizei și evaluării periodice a acestuia a amenințărilor la securitatea datelor, luând în considerare caracteristicile și (sau) modificările unui sistem informațional specific;

· pe baza rezultatelor măsurilor de monitorizare a conformității cu cerințele de securitate a datelor atunci când sunt prelucrate în sistemul informațional.

Principii pentru formarea unui model de amenințare:

· securitatea informațiilor protejate în SI este asigurată prin intermediul unui sistem de securitate a informațiilor;

· informațiile protejate sunt prelucrate și stocate într-un sistem informațional folosind anumite tehnologii informaționale și mijloace tehnice care generează obiecte de protecție de diferite niveluri, atacuri asupra cărora creează amenințări directe și indirecte la adresa informațiilor protejate;

· sistemul de protecție a datelor nu poate asigura protecția informațiilor față de acțiunile efectuate în cadrul competențelor conferite subiectului.

Modelul de amenințare oferă o descriere a sistemului informațional și a caracteristicilor sale structurale și funcționale, compoziția și modul de procesare a informațiilor protejate, determinarea nivelului de securitate a sistemului informațional și o descriere a amenințărilor la adresa securității informațiilor.

Descrierea amenințărilor la securitatea informațiilor include:

· descrierea capacităţilor intrusului (modelul intrusului);

· descrierea posibilelor vulnerabilități IS;

· modalități de implementare a amenințărilor;

· evaluarea probabilității (posibilității) realizării amenințărilor;

· evaluarea gradului și tipului de daune din implementarea amenințărilor;

· determinarea relevanței UBI.

Descrierea sistemului informatic

Sistemul este un sistem informatic client-server. MSQL-2008 este folosit ca DBMS în SISTEMUL NAIM. Din punct de vedere tehnic, partea de server a acestui sistem de informații este localizată pe un server care rulează MSQL în Naim org prescurtat.

Piesele clientului sunt situate pe stația de lucru a angajaților Naim org prescurtat.

Lipiți din analiză

Descrierea amenințărilor SISTEMUL NAIM Naim org prescurtat

Modelul intrusului

Sursele de amenințări la adresa accesului neautorizat în sistemele informaționale pot fi:

· Violator;

· Purtător de programe rău intenționate;

· Marcaj hardware.

Un violator de securitate PD este definit ca o persoană care comite accidental sau intenționat acțiuni care au ca rezultat o încălcare a securității PD atunci când este procesată prin mijloace tehnice în sistemele informaționale.

În abrevierea Naim org, toți contravenienții pot fi clasificați după cum urmează - în funcție de prezența dreptului de acces permanent sau unic la KZ.

Conform acestei clasificări, acestea sunt împărțite în două tipuri:

· Violatorii care nu au acces în zona de securitate, implementând amenințări din rețelele publice externe de comunicații și (sau) rețelele internaționale de schimb de informații - contravenienți externi;

· Violatorii care au acces la KZ și (sau) datele stocate în IS sunt contravenienți interni;

Infractorii externi pentru implementarea amenințărilor la adresa securității informațiilor în sistemul informatic abreviat Naim org pot fi:

· Structuri penale;

· Parteneri neloiali;

· Entități externe (persoane fizice).

Un intrus extern are următoarele capacități:

· Efectuează DSN către canalele de comunicare care trec dincolo de sediul biroului;

· Efectuează DNS prin stații de lucru conectate la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații;

· Efectuați acces neautorizat la informații folosind influențe software speciale prin viruși software, malware, algoritmi sau marcaje software;

· Efectuează DSN prin elemente ale infrastructurii informaționale a SI, care pe parcursul ciclului lor de viață (modernizare, întreținere, reparare, eliminare) se află în afara domeniului de aplicare a contractului;

· Efectuați DSN prin intermediul SI a departamentelor, organizațiilor și instituțiilor care interacționează atunci când acestea sunt conectate la SI.

Capacitățile unui contravenient intern depind în mod semnificativ de măsurile de securitate și de protecție organizatorică și tehnică în vigoare în cadrul KZ, inclusiv accesul persoanelor la datele personale și controlul procedurii de desfășurare a muncii.

Infractorii interni potențiali sunt împărțiți în opt categorii, în funcție de metoda de acces și autoritatea de acces la datele personale.

LA prima categorie (I1) includ persoane care au acces autorizat la IP, dar nu au acces la PD. Acest tip de contravenient include funcționari care asigură funcționarea normală a sistemului informațional.

· au acces la fragmente de informații care conțin date cu caracter personal și sunt distribuite prin canalele de comunicare interne ale sistemului informațional;

· dețin fragmente de informații despre topologia IS (partea de comunicare a subrețelei) și despre protocoalele de comunicație utilizate și serviciile acestora;

· au numele și parolele de identificare ale utilizatorilor înregistrați;

· modifica configurația mijloacelor tehnice IS, adaugă marcaje hardware și software la acesta și oferă regăsire informații folosind o conexiune directă la mijloacele tehnice IS.

· are toate capacitățile persoanelor din prima categorie;

· cunoaște cel puțin un nume de acces legal;

· are toate atributele necesare (de exemplu, o parolă) care oferă acces la un anumit subset de date personale;

· are date confidențiale la care are acces.

· are toate capacitățile persoanelor din prima și a doua categorie;

· deține informații despre topologia SI bazată pe sisteme informatice locale și distribuite prin care asigură accesul, precum și componența mijloacelor tehnice ale SI;

· are capacitatea de a direcționa accesul (fizic) la fragmente de mijloace tehnice IS.

· are informații complete despre sistemul și software-ul aplicației utilizate în segmentul IS (fragment);

· dispune de informații complete despre mijloacele tehnice și configurația segmentului IS (fragment);

· are acces la instrumente de securitate și înregistrare a informațiilor, precum și la elementele individuale utilizate într-un segment IS (fragment);

· are acces la toate mijloacele tehnice ale segmentului IS (fragment);

· are dreptul de a configura și administra un anumit subset de mijloace tehnice ale unui segment (fragment) IS.

· are toate capacitățile persoanelor din categoriile precedente;

· dispune de informații complete despre sistemul și software-ul de aplicație al SI;

· dispune de informații complete despre mijloacele tehnice și configurația SI;

· are acces la toate mijloacele tehnice de prelucrare a informațiilor de către datele IS;

· are drepturi de configurare și configurare administrativă a sistemelor informatice tehnice.

· are toate capacitățile persoanelor din categoriile precedente;

· are informații complete despre IP;

· are acces la instrumente de securitate și înregistrare a informațiilor și la unele elemente cheie ale sistemului informațional;

· nu are drepturi de acces pentru configurarea echipamentelor tehnice de rețea, cu excepția celor de control (inspecție).

· are informații despre algoritmi și programe de prelucrare a informațiilor despre IS;

· are capacitatea de a introduce erori, capabilități nedeclarate, marcaje software și programe malware în software-ul IS în stadiul dezvoltării, implementării și întreținerii acestuia;

· poate avea orice informații despre topologia SI și mijloacele tehnice de prelucrare și protecție a datelor prelucrate în IS.

· are capacitatea de a adăuga marcaje la sistemele informatice tehnice în stadiul dezvoltării, implementării și întreținerii acestora;

· poate avea orice informație despre topologia SI și mijloacele tehnice de procesare și protejare a informațiilor în IS.

Următorul tabel oferă o listă rezumată a potențialilor infractori interni și prezența lor în organizația Naim, prescurtat:

Tabelul 3.1.1.

Încălcatorii categoriilor I5 și I6 sunt excluși din numărul potențialilor încălcatori ai securității informațiilor de către Naim org. Acești utilizatori efectuează întreținerea atât a instrumentelor IS la nivelul întregului sistem, cât și a instrumentelor speciale de securitate a informațiilor, inclusiv configurarea, configurarea, distribuirea parolelor și documentația cheie între utilizatori, astfel încât sunt desemnați dintre persoane deosebit de de încredere și de încredere. Ei au acces deplin la toate setările de rețea și subsistemele de securitate a informațiilor în cazul în care trebuie să fie restaurate, actualizate sistemele etc. (deoarece trebuie să poată dezactiva sistemul de securitate a informațiilor pentru a efectua anumite activități). Eficacitatea întregului sistem de securitate a informațiilor depinde de acțiunile acestor utilizatori, astfel încât instalarea unui sistem de protecție împotriva acestora ar fi inadecvată din cauza complexității și eficienței reduse. În același timp, nu se poate să nu ia în considerare faptul că controlul asupra activităților utilizatorilor privilegiați și evaluarea eficacității acestora se efectuează în cursul evaluării conformității IP cu cerințele de securitate în timpul certificării și inspecțiilor de către autoritățile de reglementare, precum și ca de organele de drept.

Astfel, potențialii încălcatori ai securității informațiilor din Naim org prescurtați ca:

1. Contravenienți externi;

Relevanța UBI

Pentru fiecare amenințare se calculează coeficientul de fezabilitate a amenințării și se determină indicatorul de pericol de amenințare.

Instituția bugetară a Republicii Ciuvaș

„Centrul integrat Yadrinsky pentru servicii sociale pentru populație”

Ministerul Muncii și Protecției Sociale

Republica Ciuvașă

Aprobat prin ordin

BU "Yadrinsky KTsSON"

Ministerul Muncii din Chuvashia

Model de amenințare pentru securitatea datelor cu caracter personal

la prelucrarea lor în sistemul informaţional

date personale „Contabilitate și resurse umane”

Yadrin 2018

Simboluri și abrevieri 4

Termeni și definiții 4

Introducere 6

1. Descrierea sistemului informatic de date cu caracter personal

„Contabilitatea și personalul” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 7

1.1 Caracteristicile obiectelor protejate 7

„Contabilitatea și personalul” BU „BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 8

1.3 Utilizarea echipamentului de protecție 8

1.4 Model de funcționare a ISPDn „Contabilitatea și HR”

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 9

1.5 Zonele controlate ale Yadrinsky KTsSON BU Ministerul Muncii din Chuvashia 10

„Contabilitatea și personalul” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 10

1. Caracteristicile structurale și funcționale ale ISPDn „Contabilitatea și personalul”

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 12

1. Resurse protejate ISPDn „Contabilitate și personal” BU „Yadrinsky KTsSON”
2. Ministerul Muncii din Chuvahia 12
3. Principalele amenințări la adresa securității ISPDn „Contabilitatea și personalul”
4. BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 13

4.1. Canale de scurgere de informații 13

4.1.1. Amenințări de scurgere a informațiilor acustice (vorbirii) 13

4. 13

4.1.3. Amenințări de scurgere de informații prin canale electromagnetice secundare

radiații și interferențe (PEMIN) 14

4.2 Amenințări de acces neautorizat la ISPD „Contabilitate și personal”

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 14

4.3. Surse de amenințări cu acces neautorizat la ISPD „Contabilitatea și

personal" BU "Yadrinsky KTsSON" Ministerul Muncii din Chuvahia 15

4.3.1. Sursa amenințărilor NSD - intrus 15

4.3.2. Sursa amenințărilor NSD - purtători de malware 17

5. Model de amenințări la adresa securității datelor cu caracter personal atunci când sunt prelucrate în

sistemul informatic de date cu caracter personal „Contabilitate și personal”

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 17

5.1. Determinarea nivelului de securitate inițială a ISPD „Contabilitatea și personalul” 18

5.2. Determinarea probabilității ca amenințările să fie realizate în Sistemul Informațional Contabil și Personal

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 19

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 21

BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia 23

5.5. Determinarea relevanței amenințărilor în ISPDn 24

6. Modelul contravenientului ISPDn „Contabilitate și personal” BU „Yadrinsky KTsSON”

Ministerul Muncii din Chuvahia 26

6.1. Descrierea infractorilor (sursele atacurilor) 33

6.2. Determinarea tipului de infractor ISPDn BU "Yadrinsky KTsSON"

Ministerul Muncii din Chuvahia 34

6.3. Nivelul de protecție criptografică a datelor cu caracter personal în ISPDn 34

Concluzia 34

Notații și abrevieri

VTSS - mijloace tehnice auxiliare de comunicare

ISPDn - sistem de informare a datelor cu caracter personal

KZ - zone controlate

ME - firewall

NDV - oportunități nedeclarate

NSD - acces neautorizat

OS - sistem de operare

OTSS - mijloace tehnice de bază de comunicare

PD - date personale

PPO - software de aplicație

PEMIN - radiații electromagnetice false și interferențe

PMV - influență program-matematică

SZPDn - sistem de protecție a datelor cu caracter personal

CIPF - un mijloc de protecție a informațiilor criptografice

Mediu de operare SF - CIPF

Иi - surse de amenințări de securitate din categoria i-a (i=0,1...,8), unde И0 - extern
infractor, I1,...,I8 - contravenienți interni conform clasificării FSTEC

FSB al Rusiei - Serviciul Federal de Securitate al Federației Ruse

FSTEC din Rusia - Serviciul Federal pentru Control Tehnic și Export

Termeni și definiții

Următorii termeni și definițiile acestora sunt utilizați în acest document:

Blocarea datelor personale- încetarea temporară a colectării, sistematizării, acumulării, utilizării, difuzării datelor cu caracter personal, inclusiv transferul acestora.

Virus (calculator, software) - cod de program executabil sau un set interpretat de instrucțiuni care are proprietățile de distribuție neautorizată și auto-reproducere. Duplicatele create ale unui virus informatic nu coincid întotdeauna cu originalul, dar păstrează capacitatea de a se răspândi și de a se auto-replica.

Program rău intenționat- un program conceput pentru a efectua acces neautorizat și (sau) influențare asupra datelor sau resurselor cu caracter personal ale sistemului de informații cu date cu caracter personal.

Mijloace și sisteme tehnice auxiliare- mijloace și sisteme tehnice care nu sunt destinate transmiterii, prelucrării și stocării datelor cu caracter personal, instalate împreună cu mijloace și sisteme tehnice destinate prelucrării datelor cu caracter personal, sau în incinte în care sunt instalate sisteme de informare cu date cu caracter personal.

Accesul la informații- capacitatea de a obține informații și de a le folosi.

Informații protejate- informații care sunt proprietare și supuse protecției în conformitate cu cerințele documentelor legale sau cerințele stabilite de proprietarul informațiilor.

Identificare- atribuirea unui identificator pentru a accesa subiecte și obiecte și (sau) compararea identificatorului prezentat cu lista de identificatori alocați.

Sistem de informare a datelor cu caracter personal - un sistem informatic, care este o colecție de date cu caracter personal conținute într-o bază de date, precum și tehnologii informaționale și mijloace tehnice care permit prelucrarea acestor date cu caracter personal folosind instrumente de automatizare sau fără utilizarea unor astfel de instrumente.

Tehnologia de informație- procese, metode de căutare, colectare, stocare, prelucrare, prezentare, distribuire a informațiilor și metode de implementare a unor astfel de procese și metode.

Zona controlata- spațiu (teritoriu, clădire, parte dintr-o clădire, încăpere) în care este exclusă prezența necontrolată a persoanelor neautorizate, precum și mijloacele de transport, tehnice și alte mijloace materiale.

Confidențialitatea datelor cu caracter personal- obligatoriu ca operatorul sau altă persoană care are acces la datele cu caracter personal să respecte cerința de a nu permite distribuirea acestora fără acordul subiectului datelor cu caracter personal sau prezența unui alt temei legal.

Firewall- instrument (complex) local (monocomponent) sau distribuit funcțional (hardware și software) care implementează controlul asupra informațiilor care intră în sistemul informațional de date cu caracter personal și (sau) părăsesc sistemul informațional.

Capabilitati nedeclarate- capabilități funcționale ale hardware-ului și (sau) software-ului computerului care nu sunt descrise sau nu corespund cu cele descrise în documentație, a căror utilizare poate încălca confidențialitatea, disponibilitatea sau integritatea informațiilor prelucrate.

Acces neautorizat (acțiuni neautorizate)- accesul la informații sau acțiuni cu informații desfășurate cu încălcarea drepturilor și (sau) stabilite a regulilor de acces la informații sau acțiuni cu aceasta folosind mijloace standard ale sistemului informatic sau mijloace similare acestora prin scopul funcțional și caracteristicile tehnice.

Prelucrarea datelor cu caracter personal- acțiuni (operațiuni) cu date personale, inclusiv culegerea, sistematizarea, acumularea, stocarea, clarificarea (actualizarea, modificarea), utilizarea, distribuirea (inclusiv transferul), depersonalizarea, blocarea, distrugerea datelor cu caracter personal.

Operator- un organ de stat, un organ municipal, persoană juridică sau persoană fizică care organizează și (sau) desfășoară prelucrarea datelor cu caracter personal, precum și determinarea scopurilor și conținutului prelucrării datelor cu caracter personal.

Interceptarea (de informații)- primirea ilegală de informații folosind un mijloc tehnic care detectează, primește și prelucrează semnale informative.

Informații personale- orice informație referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiectul datelor cu caracter personal), inclusiv numele, prenumele, patronimul, data și locul nașterii, adresa, familia, starea socială, starea proprietății, educația, profesie, venit, alte informații.

Radiații electromagnetice străine și interferențe- radiațiile electromagnetice provenite de la mijloacele tehnice de prelucrare a informațiilor protejate, apărute ca efect secundar și cauzate de semnalele electrice care acționează în circuitele lor electrice și magnetice, precum și interferența electromagnetică a acestor semnale pe liniile conductoare, structurile și circuitele de putere.

Reguli de control al accesului- un set de reguli care reglementează drepturile de acces ale subiecților de acces la obiectele de acces.

Marcaj de program- un obiect funcțional introdus în secret în software, care, în anumite condiții, este capabil să ofere o influență software neautorizată. Un marcaj software poate fi implementat sub forma unui program rău intenționat sau a unui cod de program.

Influența software (software-matematică).- influența neautorizată asupra resurselor unui sistem informatic automatizat, efectuată cu ajutorul programelor rău intenționate.

Resursa sistemului informatic- un element numit de sistem, aplicație sau suport hardware pentru funcționarea unui sistem informațional.

Dotări informatice- un set de software și elemente tehnice ale sistemelor de prelucrare a datelor care pot funcționa independent sau ca parte a altor sisteme.

Subiect de acces (subiect)- o persoană sau un proces ale cărui acțiuni sunt reglementate de reguli de control al accesului.

Mijloace tehnice ale sistemului informatic de date cu caracter personal- facilitati informatice, complexe informatice si de calcul si retele, mijloace si sisteme de transmitere, receptie si prelucrare a datelor cu caracter personal (mijloace si sisteme de inregistrare a sunetului, amplificare a sunetului, reproducere a sunetului, dispozitive de interfon si televiziune, mijloace de producere, reproducere a documentelor si alte tipuri tehnice). mijloace de procesare a vorbirii, grafice, informații video și alfanumerice), software (sisteme de operare, sisteme de gestionare a bazelor de date etc.), instrumente de securitate a informațiilor.

Canal tehnic de scurgere de informații- totalitatea purtătorului de informaţie (mijloace de prelucrare), suportul fizic de distribuire a semnalului informaţional şi mijloacele prin care se obţine informaţia protejată.

Amenințări la adresa securității datelor cu caracter personal- un set de condiții și factori care creează pericolul accesului neautorizat, inclusiv accidental, la datele cu caracter personal, care poate avea ca rezultat distrugerea, modificarea, blocarea, copierea, distribuirea datelor cu caracter personal, precum și alte acțiuni neautorizate în timpul prelucrării acestora în sistemul informatic al datelor cu caracter personal.

Distrugerea datelor personale- acțiuni în urma cărora este imposibilă restabilirea conținutului datelor cu caracter personal în sistemul informatic al datelor cu caracter personal sau în urma cărora mediile materiale ale datelor cu caracter personal sunt distruse.

Scurgerea de informații (protejate) prin canale tehnice- diseminarea necontrolată a informațiilor de la purtătorul de informații protejate prin mediul fizic către un mijloc tehnic care interceptează informații.

Persoana autorizata de catre operator- o persoană căreia, în baza unui contract, operatorul îi încredințează prelucrarea datelor cu caracter personal.

Integritatea informațiilor- o stare de informare în care nu există nicio modificare sau modificare este efectuată numai în mod intenționat de către subiecții care au dreptul la aceasta.

Introducere

Acest document prezintă un model de amenințări la adresa securității informațiilor (lista de amenințări) și un model de intrus (ipoteze despre capacitățile unui intrus pe care le poate folosi pentru a dezvolta și efectua atacuri, precum și restricții asupra acestor capacități) pentru a crea un sistem de securitate a informațiilor (IPS) al unui sistem de informații pentru datele cu caracter personal din „Contabilitatea și personalul” al BU „Yadrinsky KTsSON” al Ministerului Muncii din Chuvahia.

Modelul de amenințare a fost elaborat în conformitate cu „Metodologia de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”, aprobată de directorul adjunct al FSTEC din Rusia la 14 februarie 2008, pe baza „Modelul de bază al amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”, aprobat de directorul adjunct al FSTEC din Rusia la 15 februarie 2008.

La formarea acestui Model de amenințare la securitatea datelor cu caracter personal, au fost utilizate următoarele documente de reglementare:

Legea federală din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologiile informației și protecția informațiilor”;

Legea federală din 27 iulie 2006 nr. 152-FZ „Cu privire la datele cu caracter personal”;

Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”;

Ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 „Cu privire la aprobarea compoziției și conținutului măsurilor organizatorice și tehnice pentru a asigura securitatea datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”;

Reglementări privind dezvoltarea, producerea, vânzarea și funcționarea mijloacelor de criptare (criptografice) de protecție a informațiilor (Dispoziție PKZ-2005), aprobate prin ordinul FSB al Rusiei din 02.09.2005 nr. 66;

Model de bază de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal, aprobat de directorul adjunct al FSTEC din Rusia la 15 februarie 2008;

Metodologia de determinare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal, aprobată de directorul adjunct al FSTEC din Rusia la 14 februarie 2008;

Recomandări metodologice pentru elaborarea actelor juridice de reglementare care definesc amenințările la adresa securității datelor cu caracter personal care sunt relevante la prelucrarea datelor cu caracter personal în sistemele de informare cu date cu caracter personal operate în implementarea unor tipuri de activități relevante, aprobate de conducerea Centrului 8 al FSB al Rusiei 31.03.2015 Nr. 149/7/2/6- 432;

GOST R 50922-2006 „Protecția informațiilor. Termeni și definiții de bază”;

GOST R 51275-2006 „Protecția informațiilor. Obiect informativ. Factorii care influențează informația. Dispoziții generale";

GOST R 51583-2014 „Protecția informațiilor. Procedura de creare a sistemelor automatizate într-un design sigur. Dispoziții generale."

1. Descrierea sistemului informatic de date cu caracter personalBU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

1.1.Caracteristici obiecte protecţie

Sistemul de informații cu date cu caracter personal „Contabilitate și personal” al BU „Yadrinsky KTsSON” al Ministerului Muncii din Chuvashia are următoarele caracteristici:

• denumirea ISPDn - „Contabilitate și personal”;
• locația ISPDn - BU "Yadrinsky KTsSON" a Ministerului Muncii din Chuvashia (denumită în continuare instituția);
• adresa organizației - Republica Chuvash, Yadrin, st. 30 de ani de victorie, 29
• compoziția ISPDn - software de automatizare a contabilității „1C: Contabilitatea unei instituții publice 8” (produs de Softekhno LLC); software „KAMIN: Salarizare pentru instituțiile bugetare. Versiunea 3.5” (produs de Kamin-Soft LLC), sistem „SBiS++: Raportare electronică și flux de documente” (produs de Tensor Company LLC).

În procesul de menținere a evidenței contabile și de personal în instituție se formează baze de date care conțin următoarele date personale:

Data nașterii;

Locul nașterii;

informații despre modificările numelui complet;

cetățenie;

adresa de înregistrare și locul de reședință;

starea civilă, informații despre persoanele aflate în întreținere, componența familiei;

număr de telefon;

informații despre actul de identitate (serie, număr, când și de către cine a fost eliberat);

informatii despre educatie;

informații despre programare și deplasare;

informatii despre activitatea de munca

informații despre premii și stimulente;

informatii despre ultimul loc de munca (profesie, salariu mediu, data concedierii, motivul concedierii, firma);

informații despre starea de înregistrare militară;

informații despre șederea dumneavoastră în străinătate;

aptitudini și calități speciale;

informații despre concedii medicale și întreruperi;

informații despre concedii (anuale, fără plată) și compensații;

informații cu privire la plata compensațiilor de concediu;

informații despre calitatea de membru al unui sindicat;

Numărul de cont;

numărul de cont curent.

Datele personale specificate se referă la alte categorii de date cu caracter personal (nu speciale, nebiometrice, nedisponibile publicului) ale subiecților care sunt angajați ai instituției.

1.3.Utilizarea fondurilor protecţie

În prezent, ISPD „Contabilitate și Personal” al instituției utilizează următoarele măsuri de securitate:

Produs software „Kaspersky Internet Security”, fără certificat de la FSTEC din Rusia

Sisteme standard de parole ale SO cu transfer de date de conectare și parole în cadrul rețelei locale de calculatoare - pentru identificarea și autentificarea utilizatorilor atunci când accesează stațiile de lucru și serverele, inclusiv cele destinate procesării și stocării informațiilor protejate.

ISPDn „Contabilitatea și Personalul” al instituției a implementat următoarele măsuri de securitate organizațională:

Se determină datele cu caracter personal prelucrate și obiectele de protecție;

S-a determinat cercul persoanelor implicate în prelucrarea datelor cu caracter personal;

Au fost definite drepturile de restricționare a accesului utilizatorilor ISPD necesare îndeplinirii sarcinilor de serviciu;

Au fost numiți responsabili cu asigurarea securității PD;

Conceptul de securitate a informațiilor a fost aprobat;

Politica de securitate a informațiilor a fost aprobată;

A fost organizat un regim de acces și securitate a incintelor în care este instalat hardware ISPD;

Informare organizată și instruire pentru angajați cu privire la procedura de prelucrare a datelor cu caracter personal;

Au fost aduse modificări regulamentelor de muncă ale salariaților privind procedura de prelucrare a datelor cu caracter personal și asigurarea regimului de protecție introdus;

Au fost elaborate instrucțiuni de acțiune în caz de situații de urgență;

Contabilitatea organizată a echipamentelor tehnice și de protecție, precum și documentația pentru acestea;

A adus în conformitate cu cerințele regulatoarelor de cameră cu hardware ISPDn;

Au fost instalate sisteme de alimentare neîntreruptibilă pe toate elementele cheie ale ISPD;

A fost implementat un sistem de rezervă pentru elementele cheie ale ISPD;

Au fost instruiți angajați responsabili care folosesc mijloace tehnice de securitate a informațiilor.

1.4. Model de funcționare a ISPDn „Contabilitatea și personalul” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvashia

1.5. Zone controlateBU „Centrul integrat Yadrinsky pentru Servicii Sociale ale Populației” al Ministerului Muncii al Republicii Ciuvaș

Limitele zonei controlate a sediului în care se află sistemul informatic de date cu caracter personal „Contabilitate și personal” al instituției:

Organizarea accesului pe teritoriul zonei controlate din instituție este încredințată directorului.

Controlul asupra procedurii de acces la spațiile situate în zona controlată a instituției este încredințat directorului.

Controlul accesului la spațiile situate în zona controlată a instituției folosind o rețea locală de supraveghere video este atribuit directorului.

Sistemul de autorizare a accesului (matricea de acces) la ISPD „Contabilitatea și Personalul” al instituției a fost aprobat în conformitate cu nivelurile de autoritate ale angajaților pentru accesarea resurselor ISPD:

. Administrator- are drepturi de acces complete la toate resursele ISPD (vizualizarea, tipărirea, modificarea, adăugarea, ștergerea informațiilor, copierea informațiilor pe medii externe înregistrate, instalare și configurare software și hardware);

. Utilizator- are drepturi de acces limitate la resursele ISPD, nu are drepturi de instalare și configurare software și hardware.

Lista resurselor ISPD și drepturile de acces ale angajaților la acestea

în funcţie de nivelul de autoritate.

Numele resursei
Media internă contabilizată:
Hard disc magnetic al bazei de date ISPDn, toate cataloagele
Hard disc magnetic al bazei de date ISPDn, directorul bazei de date
Hard disc magnetic al stației de lucru a angajatului, toate cataloagele
Hard disc magnetic al stației de lucru a angajatului, director personal
Media externă contabilizată:
Dischete magnetice
CD/DVD
Unități flash
Hard disk-uri portabile
Dispozitive externe de citire/scriere media:
Unități de dischetă
Unități CD/DVD
Echipamente periferice:
Imprimante

Legendă:

„A” - administrator;

„P” - utilizator;

„AWP” - stație de lucru automatizată;

„+” - drepturi de acces complete;

„-” - drepturi de acces limitate.

În plus, în raport cu ISPD „Contabilitate și Personal” al instituției, sunt identificate persoane fizice care nu au drept de acces în interiorul zonei controlate în care se află software-ul și hardware-ul și care nu sunt utilizatori înregistrați sau personal tehnic. , dar care au acces autorizat la resursele externe de comunicații și informații situate în afara KZ:

• furnizori specialiști în asistență tehnică;
• specialisti in retele telefonice (PBX);
• specialisti in echipamente de climatizare;
• electricieni;
• pompierii;
• oamenii legii.

De asemenea, în raport cu ISPD „Contabilitatea și Personalul” al instituției, sunt identificate persoane fizice care nu au drept de acces în interiorul zonei controlate în care se află software-ul și hardware-ul și care nu sunt utilizatori înregistrați sau personal tehnic și care nu au acces autorizat la resursele externe de comunicații și informații aflate în afara SC.

2. Caracteristicile structurale și funcționale ale ISPDn „Contabilitatea și personalul” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Determinarea caracteristicilor structurale si functionale ale sistemului informatic contabil si de personal al institutiei se realizeaza in vederea stabilirii metodelor si metodelor de protectie necesare asigurarii securitatii datelor cu caracter personal.

ISPD „Contabilitatea și Personalul” al instituției este un sistem informațional de date cu caracter personal și este supus protecției în conformitate cu cerințele ISPD pentru protecția informațiilor atunci când sunt prelucrate în sistemele informatice de date cu caracter personal.

În conformitate cu Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal” și documentele metodologice ale FSTEC, următoarele structuri structurale și caracteristicile funcționale ale ISPDn „Contabilitatea și personalul” sunt definite:

Tip de sistem informatic conform categoriei PD - ISPD este un sistem informatic care prelucreaza alte categorii de date cu caracter personal (nu speciale, nu biometrice, nedisponibile publicului);

Tip de sistem informatic pe categorii de subiecte - ISPDn este un sistem informatic care prelucrează date personale ale angajaților operatorului;

Volumul datelor cu caracter personal prelucrate simultan în ISPD (număr de subiecți PD) - sistemul informațional prelucrează simultan datele a mai puțin de 100.000 de persoane vizate;

Structura sistemului informatic - ISPDn este un sistem informatic local format din complexe de statii de lucru automatizate, unite intr-un singur sistem informatic prin mijloace de comunicare fara utilizarea tehnologiei de acces la distanta;

Disponibilitatea conexiunilor la rețele publice de comunicații și (sau) rețele internaționale de schimb de informații - ISPDn având conexiuni;

Modul de prelucrare a datelor cu caracter personal - ISPDn este multi-utilizator

Restricţionarea accesului utilizatorilor la sistemul informaţional - ISPDn este un sistem cu delimitare a drepturilor de acces;

Locație - toate mijloacele tehnice ale ISPD sunt situate în Federația Rusă.

Nivelul de securitate al unui sistem informatic este determinat pe baza unui model de amenințări la adresa securității datelor cu caracter personal, în conformitate cu documentele metodologice ale FSTEC, în conformitate cu Decretul Guvernului Federației Ruse din 1 noiembrie, 2012 Nr. 1119 „Cu privire la aprobarea cerințelor de protecție a datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal.”

3. Resurse protejate ISPDn „Contabilitate și resurse umane” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

ISPDn „Contabilitatea și personalul” unei instituții este un set de informații, elemente software și hardware.

Principalele elemente ale ISPD „Contabilitatea și personalul” sunt:

• date cu caracter personal conținute în baze de date;
• tehnologia informației, ca ansamblu de tehnici, metode și metode de utilizare a tehnologiei informatice în prelucrarea datelor cu caracter personal;
• ISPD înseamnă tehnic „Contabilitate și Personal” care prelucrează PD (echipamente informatice (CT), complexe și rețele de informații și de calcul, mijloace și sisteme de transmitere, recepție și procesare PD);
• software (sisteme de operare, DBMS, software de aplicație);
• instrumente de securitate a informațiilor (IPS);
• Mijloace și sisteme tehnice auxiliare (HTSS) (mijloace și sisteme tehnice, comunicațiile acestora, care nu sunt destinate prelucrării datelor cu caracter personal, dar situate în incinta în care se află mijloacele tehnice ale ISPD „Contabilitatea și Personalul”, precum echipamente informatice, securitate echipamente și sisteme și alarme de incendiu, echipamente și sisteme de aer condiționat, echipamente electronice de birou, telefoane etc.).
• purtători de informații protejate utilizați în sistemul informațional în procesul de protecție criptografică a datelor cu caracter personal, purtători de cheie, parolă și informații de autentificare ale CIPF și procedura de accesare a acestora;
• spații care conțin resurse ISPD „Contabilitate și Personal” legate de protecția criptografică a datelor cu caracter personal.

4. Principalele amenințări la adresa securității ISPDn „Contabilitatea și personalul”BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

4.1. Canale de scurgere de informații

La prelucrarea datelor cu caracter personal într-un ISPD, pot apărea amenințări la securitatea datelor cu caracter personal (PDS) din cauza implementării următoarelor canale de scurgere de informații:

• amenințări cu scurgeri de informații acustice (vorbirii);
• amenințări cu scurgeri de informații (vizuale) despre specii;
• amenințările cu scurgeri de informații prin canalele PEMIN.

4.1.1. Amenințări de scurgere de informații acustice (vorbirii).

Apariția amenințărilor de scurgere a informațiilor acustice (vorbirii) conținute direct în vorbirea vorbită a utilizatorului ISPDn atunci când procesează PD în ISPD se datorează prezenței funcțiilor de introducere vocală a PD în ISPD sau funcțiilor de reproducere PD prin acustică. mijloacele ISPD.

4.1.2. Amenințări ale scurgerii de informații despre specii

Sursa amenințărilor de scurgere de informații (vizuale) specifice sunt persoanele fizice care nu au acces autorizat la informațiile ISPD, precum și instrumentele tehnice de vizualizare instalate în sediile birourilor sau utilizate în secret de aceste persoane.

Mediul de propagare al acestui semnal informativ este omogen (aerul).

Amenințările de scurgere de informații (vizuale) specifice sunt realizate prin vizualizarea PD folosind mijloace optice (optoelectronice) de pe ecranele de afișare și alte mijloace de afișare a tehnologiei informației incluse în ISPD.

O condiție necesară pentru vizualizarea (înregistrarea) PD este prezența vizibilității directe între persoanele sau echipamentele de supraveghere specificate și mijloacele tehnice ale ISPD, pe care PD este afișat vizual.

Interceptarea PD în ISPD poate fi efectuată de persoane în timpul șederii lor necontrolate în spațiile de birouri sau în imediata apropiere a acestora folosind echipamente portabile portabile (camere foto și video portabile etc.), echipamente portabile sau staționare, precum și prin intermediul direct observare personală în incinta biroului sau cu ajutorul dispozitivelor tehnice de vizualizare încorporate în secret în incinta biroului.

4.1.3. Amenințări de scurgere de informații prin canalele de radiații și interferențe electromagnetice laterale (PEMIN)

Sursa amenințărilor de scurgere de informații prin canalele PEMIN sunt persoanele care nu au acces autorizat la informațiile ISPD.

Amenințarea scurgerii PD prin canalele PEMIN este posibilă datorită interceptării prin mijloace tehnice a câmpurilor electromagnetice informative și semnalelor electrice laterale (care nu au legătură cu sensul funcțional direct al elementelor ISPD) și a semnalelor electrice care apar în timpul prelucrării PD prin mijloace tehnice ISPD.

Generarea de informații care conțin PD și care circulă în mijloacele tehnice ISPD sub formă de semnale informatice electrice, prelucrarea și transmiterea acestor semnale în circuitele electrice ale mijloacelor tehnice ISPD este însoțită de radiații electromagnetice laterale, care se pot răspândi dincolo de scurtul circuit în funcție de puterea, radiația și dimensiunea ISPD.

Înregistrarea PEMIN se realizează cu scopul de a intercepta informațiile care circulă în mijloace tehnice care prelucrează date cu caracter personal, prin utilizarea echipamentelor incluse în receptoarele radio destinate recuperării informațiilor. În plus, interceptarea PEMIN este posibilă folosind dispozitive electronice de interceptare a informațiilor conectate la canale de comunicare sau mijloace tehnice de prelucrare a datelor cu caracter personal („marcaje hardware”).

4.2. Amenințări de acces neautorizat la ISPD „Contabilitate și resurse umane”BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Pentru ISPD „Contabilitate și personal”, următoarele tipuri de amenințări NSD sunt luate în considerare folosind software și hardware, care sunt implementate în timpul accesului neautorizat, inclusiv accidental, care are ca rezultat o încălcare a confidențialității (copiere, distribuire neautorizată), a integrității (distrugere, modificări) și disponibilitatea (blocarea) PD și includ:

• amenințări de acces (pătrundere) în mediul de operare al computerului folosind software standard (instrumente ale sistemului de operare sau programe generale de aplicație);
• amenințări de creare a unor moduri de operare anormale ale software-ului (hardware și software) din cauza modificărilor deliberate ale datelor de serviciu, ignorarea restricțiilor privind compoziția și caracteristicile informațiilor prelucrate prevăzute în condiții standard, denaturarea (modificarea) datelor în sine etc. ;
• amenințări cu introducerea de programe rău intenționate (software și influență matematică).

În plus, sunt posibile amenințări combinate, reprezentând o combinație a acestor amenințări. De exemplu, prin introducerea de programe rău intenționate, pot fi create condiții pentru accesul neautorizat în mediul de operare al computerului, inclusiv prin formarea unor canale netradiționale de acces la informații.

4.3. Surse de amenințări cu acces neautorizat la ISPD „Contabilitate și personal” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Sursele amenințărilor NSD în ISPD pot fi:

• intrus;
• purtător de programe malware;
• marcaj hardware.

4.3.1. Sursa amenințărilor NSD este intrusul

Pe baza dreptului de acces permanent sau unic la zonele controlate (CA), infractorii ISPD sunt împărțiți în două tipuri:

Încălcatori externi - contravenienți care nu au acces la ISPD, implementând amenințări din afara zonei de securitate;

Infractorii interni sunt infractori care au acces la ISPD, inclusiv utilizatorii ISPD.

Capacitățile infractorilor externi și interni depind în mod semnificativ de măsurile de securitate și de protecție organizatorică și tehnică în vigoare în cadrul KZ, inclusiv accesul persoanelor la datele personale și controlul procedurii de desfășurare a muncii.

Un intrus extern (denumit în continuare I0 pentru comoditate) nu are acces direct la sistemele și resursele ISPD situate în scurtcircuit. Acest tip de contravenient poate include persoane fizice (entități externe, foști angajați) sau organizații care efectuează atacuri cu scopul de a obține date cu caracter personal, de a impune informații false, de a perturba performanța sistemelor informatice sau de a încălca integritatea datelor cu caracter personal.

Infractorii interni sunt persoane care au acces la CC și la ISPD, inclusiv utilizatorii ISPD care implementează amenințări direct în ISPD.

Potențialele încălcări interne în ISPD, conform clasificării FSTEC din Rusia, sunt împărțite în opt categorii, în funcție de metoda de acces și autoritatea de a accesa datele personale.

Prima categorie (denumită în continuare I1) include persoanele care au acces autorizat la ISPD, dar nu au acces la PD. În acest tip de contravenient se numără funcționarii care asigură funcționarea normală a ISPD - personal de serviciu care desfășoară lucrări în incinta în care se află mijloacele tehnice ISPD, angajații care au acces în incinta în care se află mijloacele tehnice ISPD.

A doua categorie de potențiali infractori interni (denumite în continuare I2) include utilizatorii ISPD înregistrați care au acces limitat la resursele ISPD de la locul de muncă - utilizatori autorizați ISPD care prelucrează date cu caracter personal. În această categorie de contravenienți fac parte utilizatorii înregistrați ai Sistemului Informațional Contabil și Personal și angajații instituției. Utilizatorii înregistrați sunt persoane de încredere și nu sunt considerați contravenienți. Prin urmare, nu există potențiali încălcări interni ai celei de-a doua categorii în Sistemul Informațional Contabil și Personal.

A treia categorie de potențiali infractori interni (denumite în continuare I3) include utilizatorii ISPD înregistrați care accesează de la distanță PD printr-un sistem de informații distribuit. Întrucât ISPDn este un sistem informațional local format din complexe de stații de lucru automatizate unite într-un singur sistem informațional prin intermediul comunicațiilor fără utilizarea tehnologiei de acces la distanță, nu există potențiali încălcări interni ai celei de-a treia categorii în ISPDn.

A patra categorie de potențiali infractori interni (denumite în continuare I4) include utilizatorii ISPDn înregistrați cu autoritatea administratorului de securitate al unui segment (fragment) ISPDn. Utilizatorii înregistrați ai Sistemului Informațional Contabil și Personal cu atribuții de administrator de securitate sunt persoane de încredere și nu sunt considerați contravenienți. Prin urmare, nu există potențiali încălcări interni ai celei de-a patra categorii din Sistemul Informațional Contabil și Personal.

A cincea categorie de potențiali infractori interni (denumite în continuare I5) include utilizatorii ISPD înregistrați cu drepturi de administrator de sistem. Utilizatorii înregistrați ai ISPD Contabilitate și HR cu autoritatea unui administrator de sistem ISPD sunt persoane de încredere și nu sunt considerați contravenienți. Prin urmare, nu există potențiali încălcări interni ai celei de-a cincea categorii din Sistemul de Informații Contabilitate și Personal.

A șasea categorie de potențiali infractori interni (denumite în continuare I6) include utilizatorii ISPDn înregistrați cu autoritatea unui administrator de securitate ISPDn. Utilizatorii înregistrați ai Sistemului Informațional Contabil și Personal cu autoritatea unui administrator de securitate al Sistemului Informațional Contabil și Personal sunt persoane autorizate și nu sunt considerați contravenienți. Prin urmare, nu există potențiali încălcări interni ai celei de-a șasea categorii din Sistemul Informațional Contabil și Personal.

A șaptea categorie de potențiali infractori interni (denumite în continuare I7) include programatori-dezvoltatori (furnizori) de software de aplicație (ASW) și persoane care îi oferă suport în ISPD. Potențialii infractori interni ai celei de-a șaptea categorii din ISPD „Contabilitate și personal” includ programatori și dezvoltatori care nu sunt utilizatori autorizați ai ISPD „Contabilitate și personal”, dar care au acces unic la zona controlată.

A opta categorie de potențiali infractori interni (denumite în continuare I8) include dezvoltatorii și persoanele care furnizează, întreține și repara echipamente tehnice în ISPD. Potențialii infractori interni ai celei de-a opta categorii din Sistemul de Informații Contabilitate și Personal includ angajații care nu sunt utilizatori autorizați ai Sistemului Informațional Contabil și Personal, dar care au acces unic la zona controlată, precum și angajații organizațiilor terțe. care sprijină mijloace tehnice ale Sistemului Informaţional Contabil şi Personal.personal."

Pe baza celor de mai sus, următorii contravenienți ar trebui considerați surse de amenințări la adresa activității ilegale:

• intrus extern I0;
• contravenient intern Il, care are acces autorizat la ISPD Contabilitate si Personal, dar nu are acces la PD. Acest tip de contravenient include funcționarii care asigură funcționarea normală a ISPD „Contabilitatea și Personalul” - personalul de serviciu care desfășoară lucrări în incinta în care se află mijloacele tehnice ale ISPD „Contabilitatea și Personalul”, angajații care au acces la sediu. unde se află mijloacele tehnice ISPDn „Contabilitate și Personal”;
• contravenient intern I7, care este un programator-dezvoltator (furnizor) al software-ului sau o persoană care oferă suport pentru software-ul în Sistemul Informațional de Contabilitate și Personal;
• contravenient intern I8, care este dezvoltatorul sau persoana care asigură furnizarea, întreținerea și repararea echipamentelor tehnice din Sistemul Informațional Contabil și Personal.

4.3.2. Sursa amenințărilor NSD - purtători de malware

Purtătorul de malware poate fi un element hardware al computerului sau un container software.

Dacă un program rău intenționat este asociat cu orice program de aplicație, atunci următoarele sunt considerate ca purtător:

Medii alienabile, adică dischetă, disc optic (CD-R, CD-RW), memorie flash, hard disk alienabil etc.;

Suporturi de stocare încorporate (hard disk-uri, cipuri RAM, procesor, cipuri pentru placa de bază, cipuri pentru dispozitivele încorporate în unitatea de sistem - adaptor video, placă de rețea, placă de sunet, modem, dispozitive de intrare/ieșire pentru hard magnetice și unități optice, sursă de alimentare , etc., cipuri de acces direct la memorie, magistrale de date, porturi de intrare/ieșire);

• microcircuite ale dispozitivelor externe (monitor, tastatură, imprimantă, modem, scaner etc.).

Dacă un program rău intenționat este asociat cu orice program de aplicație, fișiere cu anumite extensii sau alte atribute, cu mesaje transmise prin rețea, atunci purtătorii acestuia sunt:

• Pachete transmise printr-o rețea informatică de mesaje;
• fișiere (text, grafic, executabil etc.).

5. Model de amenințări la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemul informatic de date cu caracter personal „Contabilitate și Personal” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Din analiză rezultă că, în conformitate cu cerințele „Procedurii de clasificare a sistemelor informatice de date cu caracter personal”, ISPD de Contabilitate și Personal al instituției este un ISPD local care are conexiuni la rețelele publice de comunicații.

Astfel, ca model de bază de amenințări la adresa securității datelor cu caracter personal la prelucrarea acestora în ISPD Contabilitate și Personal, putem lua „Modelul tipic de amenințări la securitatea datelor cu caracter personal prelucrate în sistemele informaționale locale de date cu caracter personal care au conexiuni. către rețelele publice de comunicații și (sau) rețelele de schimb internațional de informații”.

În conformitate cu modelul standard specificat de amenințări de securitate PD în Sistemul de Informații Contabile și Personal, pot fi implementate următoarele amenințări la securitate PD:

• amenințările cu scurgeri de informații prin canale tehnice;
• amenințări de acces neautorizat la datele personale prelucrate la o stație de lucru automatizată.

Amenințările la adresa ISPD pentru ISPD de contabilitate și personal sunt asociate cu acțiunile contravenienților care au acces la ISPD, inclusiv utilizatorii ISPD care implementează amenințări direct în ISPD (infractor intern), precum și a infractorilor care nu au acces la ISPD. ISPD și implementează amenințări din rețelele de comunicații externe de uz public (intrus extern).

Ținând cont de componența mijloacelor de protecție utilizate, de categoriile de date cu caracter personal, de categoriile de potențiali contravenienți și de recomandările „Modelului de bază de amenințări la adresa securității datelor cu caracter personal atunci când sunt prelucrate în sistemele informatice de date cu caracter personal”, este necesar să ia în considerare următoarele amenințări de securitate pentru Sistemul Informațional Contabil și Personal:

• amenințarea cu scurgeri de informații acustice;
• amenințarea cu scurgeri de informații despre specii,
• amenințarea cu scurgeri de informații prin canalul PEMIN;
• o amenințare implementată în timpul încărcării sistemului de operare;
• o amenințare care apare după ce sistemul de operare pornește;
• amenințare de malware;
• Amenințare „Analiza traficului în rețea” cu interceptarea informațiilor transmise prin rețea;
• amenințare de scanare care vizează identificarea porturilor și serviciilor deschise, a conexiunilor deschise etc.;
• amenințarea cu dezvăluirea parolelor;
• amenințarea de a obține date de acces neautorizat prin înlocuirea unui obiect de rețea de încredere;
• Amenințare cu refuzul serviciului;
• amenințarea lansării de la distanță a aplicației;
• amenințarea ca programele rău intenționate să fie introduse în rețea.

5.1. Determinarea nivelului de securitate inițială a ISPD „Contabilitatea și Personalul”

Nivelul de securitate inițial este înțeles ca un indicator generalizat Y 1, în funcție de caracteristicile tehnice și operaționale ale ISPD.

În conformitate cu „Metodologia de identificare a amenințărilor actuale la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” pentru a găsi nivelul inițial de securitate al ISPD, i.e. valorile coeficientului numeric Y 1, este necesar să se determine indicatorii securității inițiale.

Caracteristicile tehnice și operaționale ale ISPDn	Nivel de securitate
	Înalt	In medie	Mic de statura
1. După localizarea teritorială:
ISPD local desfășurat într-o singură clădire
2. Prin conectare la rețele publice:
ISPDn, care are un singur punct de acces la rețeaua publică;
3. Pentru operațiunile încorporate (legale) cu înregistrări ale bazelor de date personale:
înregistrare, ștergere, sortare;
4. Cu privire la restricționarea accesului la datele personale:
ISPD, la care au acces angajații organizației care este proprietarul ISPD, sau subiectul PD;

Din analiza rezultatelor securității inițiale rezultă că peste 70% din caracteristicile ISPD „Contabilitatea și Personalul” al instituției corespund unui nivel nu mai mic decât „medie”.

În consecință, în conformitate cu „Metodologia de identificare a amenințărilor curente la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal”, Sistemele Informaționale Contabilitate și Personal au un nivel mediu de securitate inițială și un coeficient numeric Y 1 = 5.

5.2. Determinarea probabilității ca amenințările să fie realizate în Sistemul Informațional Contabil și PersonalBU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Probabilitatea realizării unei amenințări este înțeleasă ca un indicator determinat de experți care caracterizează cât de probabil este ca o amenințare specifică la adresa securității PD să fie realizată pentru un anumit PDIS în situația actuală.

Coeficientul numeric (Y 2) pentru evaluarea probabilității apariției unei amenințări este determinat de patru gradații verbale ale acestui indicator:

• puțin probabil - nu există premise obiective pentru ca amenințarea să apară (Y 2 = 0);
• probabilitate scăzută - există premise obiective pentru ca amenințarea să fie realizată, dar măsurile luate complică semnificativ implementarea acesteia (Y 2 = 2);
• probabilitate medie - precondiții obiective pentru ca amenințarea să se materializeze există, dar măsurile luate pentru asigurarea securității datelor cu caracter personal sunt insuficiente (Y 2 = 5);
• probabilitate mare - există condiții prealabile obiective pentru ca amenințarea să se materializeze și nu au fost luate măsuri de asigurare a siguranței datelor cu caracter personal (Y 2 = 10).

Tip de amenințare la securitatea PD	Probabilitatea amenințării Y2. Sursa amenințării este categoria care încalcă categoria (I0, I1, I7, I8)
						Total Y2=MAX (I0,I1,I7,I8)
1.2. Amenințări ale scurgerii de informații despre specii
2.1.1. Furtul PC-ului
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale
2.3.6. Dezastru
2.5.1.1. Interceptarea în afara zonei controlate
2.5.4 Amenințări cu impunerea unei rute de rețea false

5.3. Determinarea posibilității de implementare a amenințărilor în Sistemul Informațional Contabil și Personal BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Pe baza rezultatelor evaluării nivelului de securitate inițială (Y 1) și a probabilității ca amenințarea să fie realizată (Y 2), se calculează coeficientul de fezabilitate a amenințării (Y) și se determină posibilitatea realizării amenințării.

Coeficientul de fezabilitate a amenințării se calculează folosind formula:

Y= (Y1 +Y2)/20.

Pe baza valorii coeficientului de fezabilitate a amenințării Y, se formulează o interpretare verbală a fezabilității amenințării după cum urmează:

• dacă 0≤Y≤0,3, atunci posibilitatea unei amenințări este considerată scăzută;
• dacă 0,3≤Y≤0,6, atunci posibilitatea unei amenințări este considerată medie;
• dacă 0,6≤Y≤0,8, atunci posibilitatea unei amenințări este considerată ridicată;
• dacă Y>0,8, atunci posibilitatea unei amenințări este considerată foarte mare

Tip de amenințare la securitatea PD	posibilitatea implementării amenințărilor Y2	Coeficientul de fezabilitate a amenințării
1. Amenințări de la scurgeri prin canale tehnice
1.1. Amenințări de scurgere de informații acustice
1.2. Amenințări ale scurgerii de informații despre specii
1.3. Amenințări de scurgere de informații prin canalele PEMIN
2. Amenințări cu accesul neautorizat la informații
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD
2.1.1. Furtul PC-ului
2.1.2. Furtul media
2.1.3. Furtul de chei și atribute de acces
2.1.4. Furt, modificare, distrugere de informații
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC
2.1.7. Dezactivarea neautorizată a măsurilor de securitate
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice)
2.2.1. Acțiuni ale programelor malware (viruși)
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) caracter
2.3.1. Pierderea cheilor și a atributelor de acces
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate
2.3.4. Eșecul hardware și software
2.3.5. Pana de curent
2.3.6. Dezastru
2.4. Amenințări ale unor acțiuni deliberate din interior
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor neautorizate să le prelucreze
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze
2.5 Amenințări de acces neautorizat prin canale de comunicare
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe:
2.5.1.1. Interceptarea în afara zonei controlate
2.5.1.2. Interceptarea în zona controlată de către intruși externi
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni.
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc.
2.5.3 Amenințări de dezvăluire a parolelor prin rețea
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea
2.5.6 Amenințări cu introducerea unui obiect fals atât în ​​ISDN, cât și în rețelele externe
2.5.7.Amenințări cu refuzul serviciului
2.5.8.Amenințări ale lansării de la distanță a aplicației
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea

5.4. Evaluarea pericolului amenințărilor în ISPDn „Contabilitate și personal” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Evaluarea pericolului amenințărilor în ISPD se bazează pe o anchetă a specialiștilor în securitatea informațiilor și este determinată de un indicator verbal de pericol, care are trei semnificații:

• pericol scăzut - dacă implementarea amenințării poate duce la consecințe negative minore pentru subiecții datelor cu caracter personal;
• pericol mediu - dacă implementarea amenințării poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
• pericol mare – dacă implementarea amenințării ar putea duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal

Tip de amenințare la securitatea PD	Pericol de amenințări
1. Amenințări de la scurgeri prin canale tehnice
1.1. Amenințări de scurgere de informații acustice
1.2. Amenințări ale scurgerii de informații despre specii
1.3. Amenințări de scurgere de informații prin canalele PEMIN
2. Amenințări cu accesul neautorizat la informații
2.1. Amenințări de distrugere, furt de hardware ISPD și purtători de informații prin accesul fizic la elementele ISPD
2.1.1. Furtul PC-ului
2.1.2. Furtul media
2.1.3. Furtul de chei și atribute de acces
2.1.4. Furt, modificare, distrugere de informații
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC
2.1.7. Dezactivarea neautorizată a măsurilor de securitate
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice)
2.2.1. Acțiuni ale programelor malware (viruși)
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) .p.) caracter
2.3.1. Pierderea cheilor și a atributelor de acces
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate
2.3.4. Eșecul hardware și software
2.3.5. Pana de curent
2.3.6. Dezastru
2.4. Amenințări ale unor acțiuni deliberate din interior
2.5 Amenințări de acces neautorizat prin canale de comunicare
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe:
2.5.1.1. Interceptarea în afara zonei controlate
2.5.1.2. Interceptarea în zona controlată de către intruși externi
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni.
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc.
2.5.3 Amenințări de dezvăluire a parolelor prin rețea
2.5.4 Amenințări cu impunerea unei rute de rețea false
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea
2.5.6 Amenințări cu introducerea unui obiect fals atât în ​​ISDN, cât și în rețelele externe
2.5.7.Amenințări cu refuzul serviciului
2.5.8.Amenințări ale lansării de la distanță a aplicației
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea

5.5. Determinarea relevanței amenințărilor în ISPD

În conformitate cu regulile de clasificare a unei amenințări la securitate ca amenințări curente, curente și irelevante sunt determinate pentru ISPD „Contabilitatea și Personalul” unei instituții.

Posibilitatea implementării amenințărilor	Amenințare cu pericol
	irelevant	irelevant	actual
	irelevant	actual	actual
	actual	actual	actual
Foarte inalt	actual	actual	actual

Tip de amenințare la securitatea PD	Pericol de amenințări	Posibilitatea realizării amenințării	Relevanța amenințării
1. Amenințări de la scurgeri prin canale tehnice
1.1. Amenințări de scurgere de informații acustice			irelevant
1.2. Amenințări ale scurgerii de informații despre specii			irelevant
1.3. Amenințări de scurgere de informații prin canalele PEMIN			irelevant
2. Amenințări cu accesul neautorizat la informații
2.1. Amenințări de distrugere, furt de hardware ISPD, medii de stocare prin acces fizic la elementele ISPD
2.1.1. Furtul PC-ului			actual
2.1.2. Furtul media			actual
2.1.3. Furtul de chei și atribute de acces			actual
2.1.4. Furt, modificare, distrugere de informații			actual
2.1.5. Defecțiunea nodurilor PC și a canalelor de comunicație			irelevant
2.1.6. Acces neautorizat la informații în timpul întreținerii (reparației, distrugerii) nodurilor PC			actual
2.1.7. Dezactivarea neautorizată a măsurilor de securitate			actual
2.2. Amenințări de furt, modificare neautorizată sau blocare a informațiilor din cauza accesului neautorizat (UNA) folosind software, hardware și software (inclusiv software și influențe matematice)
2.2.1. Acțiuni ale programelor malware (viruși)			actual
			irelevant
2.2.3. Instalarea de software care nu are legătură cu îndeplinirea atribuțiilor oficiale			irelevant
2.3. Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) .p.) caracter
2.3.1. Pierderea cheilor și a atributelor de acces			irelevant
2.3.2. Modificarea (distrugerea) neintenționată a informațiilor de către angajați			actual
2.3.3. Dezactivarea neintenționată a funcțiilor de securitate			irelevant
2.3.4. Eșecul hardware și software			actual
2.3.5. Pana de curent			irelevant
2.3.6. Dezastru			actual
2.4. Amenințări ale unor acțiuni deliberate din interior
2.4.1. Accesul la informații, modificarea, distrugerea persoanelor care nu au voie să le prelucreze			actual
2.4.2. Dezvăluirea informațiilor, modificarea, distrugerea de către angajații autorizați să le prelucreze			actual
2.5 Amenințări de acces neautorizat prin canale de comunicare
2.5.1 Amenințarea „Analiza traficului de rețea” cu interceptarea informațiilor transmise de la ISPD și primite din rețele externe:			actual
2.5.1.1. Interceptarea în afara zonei controlate			actual
2.5.1.2. Interceptarea în zona controlată de către intruși externi			actual
2.5.1.3 Interceptarea în zona controlată de către contravenienți interni.			actual
2.5.2 Scanarea amenințărilor care vizează identificarea tipului sau tipurilor de sisteme de operare utilizate, adresele de rețea ale stațiilor de lucru ISPD, topologia rețelei, porturile și serviciile deschise, conexiunile deschise etc.			actual
2.5.3 Amenințări de dezvăluire a parolelor prin rețea			actual
2.5.4 Amenințări cu impunerea unei rute de rețea false			irelevant
2.5.5 Amenințări de înlocuire a unui obiect de încredere în rețea			irelevant
2.5.6 Amenințări cu introducerea unui obiect fals atât în ​​ISDN, cât și în rețelele externe			irelevant
2.5.7.Amenințări cu refuzul serviciului			actual
2.5.8.Amenințări ale lansării de la distanță a aplicației			actual
2.5.9 Amenințări ale programelor rău intenționate care sunt introduse în rețea			actual

Astfel, amenințările actuale la adresa securității datelor cu caracter personal din ISPD „Contabilitatea și Personalul” unei instituții sunt amenințările cu accesul neautorizat la informații:

Amenințări de distrugere, furt de hardware ISPD, purtători de informații prin acces fizic la elementele ISPD;

Amenințări ale acțiunilor neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale ( fulgere, incendii, inundatii etc.) .p.) caracter;

Amenințările cu acțiuni intenționate ale contravenienților interni;

Amenințări de acces neautorizat prin canale de comunicare.

6. Modelul contravenientului ISPDn „Contabilitate și HR” BU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

În conformitate cu Decretul Guvernului Federației Ruse din 1 noiembrie 2012 nr. 1119 „Cu privire la aprobarea cerințelor pentru protecția datelor cu caracter personal în timpul prelucrării acestora în sistemele de informații cu date cu caracter personal”, securitatea datelor cu caracter personal în timpul prelucrării lor în sistemul informatic este asigurat folosind un sistem de protecție a datelor cu caracter personal care neutralizează amenințările actuale, determinat în conformitate cu partea 5 a articolului 19 din Legea federală „Cu privire la datele cu caracter personal”.

Sistemul de protecție a datelor cu caracter personal include măsuri organizatorice și (sau) tehnice determinate ținând cont de amenințările actuale la adresa securității datelor cu caracter personal și a tehnologiilor informaționale utilizate în sistemele informaționale.

Hardware-ul și software-ul trebuie să îndeplinească cerințele stabilite în conformitate cu legislația Federației Ruse pentru a asigura protecția informațiilor.

Caracteristicile ISPD „Contabilitatea și Personalul” al instituției, resursele protejate ale ISPD „Contabilitatea și Personalul” al instituției, amenințările cu scurgerea PD prin canale tehnice, amenințările la adresa informațiilor ISPD „Contabilitatea și Personalul” al instituției și amenințarea la securitatea PD. model sunt discutate în secțiunile anterioare ale acestui document.

Pe baza datelor obținute în secțiunile indicate, ținând cont de „Recomandările metodologice pentru elaborarea actelor juridice de reglementare care definesc amenințările la adresa securității datelor cu caracter personal care sunt relevante la prelucrarea datelor cu caracter personal în sistemele de informare cu date cu caracter personal operate în implementarea tipuri relevante de activități” aprobat de conducerea Centrului 8 al FSB al Rusiei la 31 martie. 2015 Nr. 149/7/2/6-432, este posibil să se clarifice capacitățile infractorilor (surse de atacuri) atunci când asigurarea securității datelor cu caracter personal folosind instrumente cripto la prelucrarea acestora în ISPD „Contabilitate și Personal” al instituției.

	Capabilitati generalizate ale surselor de atac
	Capacitatea de a crea independent metode de atac, de a pregăti și de a efectua atacuri numai în afara zonei controlate
	Capacitatea de a crea independent metode de atac, de a pregăti și de a efectua atacuri în zona controlată, dar fără acces fizic la hardware-ul (denumit în continuare AS) pe care sunt implementate CIPF și mediul lor de operare
	Capacitatea de a crea independent metode de atac, de a pregăti și de a efectua atacuri într-o zonă controlată cu acces fizic la sistemele automatizate pe care sunt implementate CIPF și mediul lor de operare
	Abilitatea de a atrage specialiști cu experiență în dezvoltarea și analiza CIPF (inclusiv specialiști în domeniul analizei semnalelor de transmisie liniară și a semnalelor de radiații electromagnetice false și interferențe ale CIPF)
	Capacitatea de a atrage specialiști cu experiență în dezvoltarea și analiza CIPF (inclusiv specialiști în domeniul utilizării capabilităților nedocumentate ale aplicațiilor software pentru implementarea atacurilor);
	Capacitatea de a atrage specialiști cu experiență în dezvoltarea și analiza CIPF (inclusiv specialiști în domeniul utilizării capacităților nedocumentate ale componentelor hardware și software ale mediului de operare CIPF pentru implementarea atacurilor).

Implementarea amenințărilor de securitate la adresa datelor cu caracter personal prelucrate în sistemele de informații cu date cu caracter personal este determinată de capacitățile surselor de atac. Astfel, relevanța utilizării capacităților surselor de atac determină prezența amenințărilor actuale relevante.

	Clarificarea capacităților atacatorilor și a vectorilor de atac (amenințările actuale corespunzătoare)	Relevanța utilizării (aplicației) pentru construirea și implementarea atacurilor	Justificarea absenței
	efectuarea unui atac într-o zonă controlată.	nu este relevant	reprezentanții serviciilor tehnice, de întreținere și ai altor servicii de asistență atunci când lucrează în incinta în care se află sistemul de protecție a informațiilor criptografice, precum și angajații care nu sunt utilizatori ai sistemului de protecție a informațiilor criptografice, se află în aceste incinte numai în prezența angajaților operaționali; angajații care sunt utilizatori ai ISPD, dar nu sunt utilizatori ai CIPF, sunt informați cu privire la regulile de lucru în ISPD și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor; Utilizatorii CIPF sunt informați despre regulile de lucru în ISDN, regulile de lucru cu CIPF și responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor; spațiile în care sunt amplasate sistemele de protecție a informațiilor criptografice sunt dotate cu uși de intrare cu încuietori, asigurându-se că ușile localului sunt încuiate și deschise numai pentru trecerea autorizată; au fost aprobate reguli de acces în incinta în care sunt amplasate sistemele de protecție a informațiilor criptografice în timpul orelor de lucru și nelucrătoare, precum și în situații de urgență; a fost aprobată o listă a persoanelor îndreptățite să acceseze incinta în care se află sistemele de protecție a informațiilor criptografice; se realizează înregistrarea și contabilizarea acțiunilor utilizatorilor cu date personale; se monitorizează integritatea echipamentului de protecție;
	efectuarea de atacuri în stadiul de funcționare a CIPF asupra următoarelor obiecte: Documentație pentru componentele CIPF și SF; Localuri care conțin un set de software și elemente tehnice ale sistemelor de prelucrare a datelor care pot funcționa independent sau ca parte a altor sisteme (denumite în continuare SVT), pe care sunt implementate CIPF și SF.	nu este relevant	Se desfășoară activități de recrutare; documentația pentru CIPF este stocată de persoana responsabilă pentru CIPF într-un seif metalic; localurile în care se află documentația pentru componentele CIPF, CIPF și SF sunt dotate cu uși de intrare cu încuietori, asigurându-se că ușile localului sunt încuiate permanent și deschise numai pentru trecerea autorizată; a fost aprobată o listă a persoanelor îndreptățite să acceseze localul.
	obținerea, în cadrul competențelor conferite, precum și în urma observațiilor, a următoarelor informații: Informații privind măsurile fizice de protecție a obiectelor în care se află resursele sistemului informațional; Informații privind măsurile de asigurare a zonei controlate a obiectelor în care se află resursele sistemului informațional; Informații privind măsurile de limitare a accesului la sediul în care se află dispozitivele electronice, unde sunt implementate CIPF și SF.	nu este relevant	Se desfășoară activități de recrutare; informatiile despre masurile fizice de protectie a facilitatilor in care sunt amplasate sistemele informatice sunt disponibile unui numar limitat de angajati; angajații sunt informați cu privire la responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor.
	utilizarea instrumentelor standard ISPD, limitate de măsurile implementate în sistemul informațional în care este utilizat CIPF, și care vizează prevenirea și suprimarea acțiunilor neautorizate.	nu este relevant	Se desfășoară activități de recrutare; incinta in care se afla SVT, pe care se afla CIPF si SF, sunt dotate cu usi de intrare cu incuietori, usile localului sunt incuiate si deschise numai pentru trecere autorizata; angajații sunt informați cu privire la responsabilitatea pentru nerespectarea regulilor de securitate a informațiilor; se realizează delimitarea și controlul accesului utilizatorilor la resursele protejate; ISPDn folosește: mijloace certificate de protejare a informațiilor împotriva accesului neautorizat; produse de protecție antivirus certificate.
	acces fizic la dispozitivele electronice pe care sunt implementate CIPF și SF.	nu este relevant	Se desfășoară activități de recrutare; Spațiile în care se află SVT, pe care se află CIPF și SF, sunt dotate cu uși de intrare cu încuietori; ușile localului sunt încuiate și deschise numai pentru trecerea autorizată.
	capacitatea de a influența componentele hardware ale CIPF și SF, limitată de măsurile implementate în sistemul informațional în care este utilizat CIPF, și care vizează prevenirea și suprimarea acțiunilor neautorizate.	nu este relevant	Se desfășoară activități de recrutare; Reprezentanții serviciilor tehnice, de întreținere și ai altor servicii de asistență atunci când lucrează în sediul în care sunt amplasate componentele CIPF și SF, precum și angajații care nu sunt utilizatori ai CIPF, se află în aceste sedii numai în prezența angajaților operaționali.
	crearea de metode, pregătirea și efectuarea atacurilor cu implicarea specialiștilor în domeniul analizei semnalelor care însoțesc funcționarea CIPF și SF, precum și în domeniul utilizării capacităților nedocumentate (nedeclarate) ale aplicațiilor software pentru implementarea atacurilor.	nu este relevant	Se desfășoară activități de recrutare; incinta in care se afla CIPF si SF sunt dotate cu usi de intrare cu incuietori, usile incintei sunt incuiate si deschise numai pentru trecere autorizata; se realizează delimitarea și controlul accesului utilizatorilor la resursele protejate; se efectuează înregistrarea și contabilizarea acțiunilor utilizatorilor; pe stațiile de lucru și serverele pe care este instalat CIPF: sunt utilizate mijloace certificate de protecție a informațiilor împotriva accesului neautorizat; Se folosesc produse de protecție antivirus certificate.
	efectuarea de studii de laborator de protecție a informațiilor criptografice utilizate în afara zonei controlate, limitate de măsurile implementate în sistemul informațional în care se utilizează protecția informațiilor criptografice, și care vizează prevenirea și suprimarea acțiunilor neautorizate.	nu este relevant	nu există prelucrare a informațiilor care constituie secret de stat, precum și a altor informații care pot prezenta interes pentru implementarea oportunității;
	efectuarea de lucrări de creare a metodelor și mijloacelor de atac în centre de cercetare specializate în dezvoltarea și analiza CIPF și IP, inclusiv utilizarea codurilor sursă ale aplicațiilor software incluse în IP, folosind direct apeluri la funcțiile programului CIPF.	nu este relevant	nu există prelucrare a informațiilor care constituie secret de stat, precum și a altor informații care pot prezenta interes pentru implementarea oportunității; costul ridicat și complexitatea pregătirii pentru implementarea oportunității.
	crearea de metode, pregătirea și desfășurarea atacurilor cu implicarea specialiștilor în domeniul utilizării capacităților nedocumentate (nedeclarate) ale software-ului de sistem pentru implementarea atacurilor.	nu este relevant	nu există prelucrare a informațiilor care constituie secret de stat, precum și a altor informații care pot prezenta interes pentru implementarea oportunității; cost ridicat și complexitate a pregătirii pentru implementarea oportunității; Se desfășoară activități de recrutare; incinta in care se afla CIPF si SF sunt dotate cu usi de intrare cu incuietori, usile incintei sunt incuiate si deschise numai pentru trecere autorizata; reprezentanții serviciilor tehnice, de întreținere și ai altor servicii de asistență atunci când lucrează în sediul în care sunt amplasate componentele CIPF și SF, precum și angajații care nu sunt utilizatori ai CIPF, se află în aceste sedii numai în prezența angajaților din exploatare; se realizează delimitarea și controlul accesului utilizatorilor la resursele protejate; se efectuează înregistrarea și contabilizarea acțiunilor utilizatorilor; pe stațiile de lucru și serverele pe care este instalat CIPF: sunt utilizate mijloace certificate de protecție a informațiilor împotriva accesului neautorizat; Se folosesc produse de protecție antivirus certificate.
	capacitatea de a avea informații conținute în documentația de proiectare pentru componentele hardware și software ale SF.	nu este relevant
	capacitatea de a influența orice componente ale CIPF și SF.	nu este relevant	Nu există nicio prelucrare a informațiilor care constituie secret de stat, precum și a altor informații care pot prezenta interes pentru implementarea oportunității.

6.1. Descrierea infractorilor (surse de atacuri)

Intrusul (sursa atacurilor) ISPD este înțeles ca persoana (sau procesul inițiat de acesta) care conduce (realizează) atacul.

În cazul transferului de date de la (către) o organizație(e) terță(e) care utilizează numai suporturi de hârtie, angajații acestei organizații nu pot influența instrumentele tehnice și software ale ISPD „Contabilitatea și Personalul” al instituției și, prin urmare, nu pot fi considerați în acest document ca potențiali contravenienți.

Toate celelalte persoane fizice care au acces la instrumentele tehnice și software ale ISPD „Contabilitatea și Personalul” ale instituției pot fi clasificate în următoarele categorii:

Toți potențialii contravenienți sunt împărțiți în două tipuri:

Intruși externi - intruși care efectuează atacuri din afara zonei controlate a ISPD;

Infractorii interni sunt infractori care efectuează atacuri în timp ce se află în zona controlată a ISPD.

Se presupune că:

Infractorii externi pot fi persoane de Categoria I sau de Categoria II;

Infractorii domestici pot fi doar persoane de Categoria II.

Capacitățile potențialilor încălcatori ai ISPD „Contabilitatea și Personalul” al instituției depind în mod semnificativ de politica de securitate implementată în ISPD „Contabilitatea și Personalul” instituției și de măsurile de securitate, organizatorice, tehnice și tehnice luate pentru asigurarea securității.

Toate persoanele fizice care au acces la instrumentele tehnice și software ale ISPD „Contabilitate și Personal” ale instituției, în conformitate cu modelul de bază al amenințărilor la adresa securității datelor cu caracter personal în timpul prelucrării acestora în sistemele informatice de date cu caracter personal” (Extract) ( aprobate de FSTEC al Federației Ruse la 15 februarie 2008), se referă la surse de amenințări și pot fi considerate potențiali contravenienți.Conform analizei efectuate cu privire la potențialii încălcatori ai acestui ISPD „Contabilitatea și personalul”, instituția se încadrează în patru din nouă categorii posibile:

Încălcatori de categoria I0 (contravenienți externi) - persoane care nu au acces direct la instrumentele tehnice și software ale ISPD „Contabilitatea și Personalul” al instituției situate în cadrul KZ;

Încălcatori de categoria I1 (contravenitori interni) - persoane care au acces autorizat la ISPD „Contabilitate și Personal” al instituției, dar nu au acces la PD (personal de serviciu care desfășoară lucrări în incinta în care se află mijloacele tehnice ale acestui ISPD). localizați, angajați cu acces la spații în care se află mijloacele tehnice ale ISPDn „Contabilitatea și Personalul” al instituției;

Încălcatorii categoriei I7 (infractori interni sau externi) - programatori-dezvoltatori (furnizori) ai software-ului și persoane care îi oferă suport în ISPD „Contabilitatea și Personalul” al instituției și care au sau nu acces unic la KZ ;

Încălcatorii categoriei I8 (incalcatorii interni sau externi ai categoriei 8) sunt dezvoltatorii și persoanele care asigură furnizarea, întreținerea și repararea echipamentelor tehnice în ISPD „Contabilitatea și Personalul” al instituției și care au sau nu acces unic la KZ. .

Ținând cont de specificul funcționării ISPD „Contabilitatea și Personalul” instituției și de natura PD-ului procesat în acesta, se presupune că utilizatorii privilegiați ai acestui ISPD (administratorii) care realizează managementul tehnic și întreținerea hardware-ul și software-ul ISPD, inclusiv instrumentele de securitate, inclusiv configurarea acestora, configurarea și distribuirea documentației de cheie și parole, precum și un număr limitat de utilizatori înregistrați, sunt considerate persoane deosebit de de încredere și sunt excluse din numărul potențialilor contravenienți.

6.2. Determinarea tipului de contravenient ISPDBU „Yadrinsky KTsSON” Ministerul Muncii din Chuvahia

Având în vedere cele de mai sus, pot fi considerați potențiali încălcări în ISPD „Contabilitatea și Personalul” instituției:

un intrus extern care nu are acces la instrumentele tehnice și software ale ISPD situat în KZ și creează în mod independent metode și mijloace pentru implementarea atacurilor și, de asemenea, efectuează în mod independent aceste atacuri;

un contravenient intern care nu este utilizator ISPD, dar are dreptul de acces permanent sau unic în zona de securitate la echipamentele informatice pe care sunt implementate cripto-instrumente și SF și creează în mod independent metode de atac, le pregătește și le poartă afară.

Datorită ordinii ierarhice de determinare a capacităților unui intrus în ISPD, intrusul intern menționat mai sus are cele mai mari capacități.

6.3. Nivelul de protecție criptografică a datelor cu caracter personal în ISPDn

Deoarece cel mai mare potențial din ISPD „Contabilitatea și personalul” unei instituții este deținut de un contravenient intern care nu este utilizator al ISPD, dar are dreptul de acces permanent sau unic în KZ la facilitățile computerizate pe care cripto -se implementează instrumentele și SF, creează independent metode de atac, pregătește și implementarea acestora, apoi instrumentul criptografic utilizat în ISPD „Contabilitatea și Personalul” instituției trebuie să ofere protecție criptografică la nivelul KS2. Acest nivel de protecție criptografică poate fi asigurat de instrumentele de protecție a informațiilor criptografice „ViPNet Client KS2” instalate în ISPD „Contabilitate și personal” al instituției certificate de FSB al Rusiei.

Concluzie

Pe baza celor de mai sus se pot trage următoarele concluzii:

1. ISPDn „Contabilitatea și Personalul” al instituției este un sistem local de informare special monoutilizator cu diferențiere a drepturilor de acces pentru utilizatorii care au conexiuni la rețelele publice de comunicații.
2. Amenințări de scurgere prin canale tehnice, inclusiv amenințări de scurgere de informații acustice (vorbite), amenințări de scurgere de informații vizuale și amenințări de scurgere prin canalul PEMIN în conformitate cu nivelul de securitate inițial al ISPD al instituției „Contabilitatea și Personalul”, condițiile de operare și tehnologiile de prelucrare și stocare a informațiilor sunt irelevante.
3. Amenințări asociate cu:

Acces neautorizat la informații;

Acțiuni neintenționate ale utilizatorilor și încălcări ale securității funcționării ISPDn și SZPDn în componența sa din cauza defecțiunilor software-ului, precum și a amenințărilor non-antropice (defecțiuni hardware din cauza nefiabilității elementelor, întreruperi de curent) și naturale (lovituri de fulgere). , incendii, inundații etc.) n.) caracter;

Acțiuni deliberate ale contravenienților interni;

Acces neautorizat prin canale de comunicare

sunt neutralizate de instrumentele de protecție antivirus instalate în Sistemul Informațional Contabil și Personal al instituției, mijloace de protecție împotriva accesului neautorizat, inclusiv instrumente firewall, utilizarea instrumentelor de protecție criptografică, precum și măsuri organizatorice care asigură funcționarea în siguranță a instituției. Sistem informatic contabil si personal in regim normal . Prin urmare, amenințările de mai sus sunt irelevante (dacă aceste protecții sunt instalate.

1. Amenințările actuale la adresa securității datelor cu caracter personal, identificate în timpul studiului ISPD-ului „Contabilitatea și Personalul” al instituției, reprezintă condiții și factori care creează un pericol real de acces neautorizat la datele cu caracter personal pentru a le încălca confidențialitatea, integritatea și disponibilitatea.

Aceste tipuri de amenințări pot fi neutralizate prin utilizarea sistemului de securitate a informațiilor Dallas Lock.

1. Potențialii încălcatori ai securității datelor cu caracter personal ale ISPD „Contabilitatea și personalul” instituției sunt clasificați ca contravenienți externi (I0) și interni ai categoriilor 1, 7 și 8 (I1, I7, I8) conform clasificării FSTEC. a Rusiei. În conformitate cu modelul construit al contravenientului, cel mai mare potențial din ISPD „Contabilitatea și personalul” instituției aparține contravenientului intern, care nu este utilizator al ISPD, dar are dreptul de acces permanent sau unic. în KZ la facilitățile informatice pe care sunt implementate cripto-instrumente și SF, creează în mod independent metode de atac, pregătire și execuție. Pentru a asigura o protecție criptografică nu mai mică de KS2, se recomandă utilizarea CIPF „ViPNet Coordinator KS2”, CIPF „ViPNet Client KS2” în ISPD al instituției, cu condiția ca sistemul de securitate a informațiilor Dallas Lock să fie instalat (dacă nu este utilizat)

În conformitate cu cerințele acestui ISPD „Contabilitatea și personalul” instituției, se recomandă stabilirea nivelului de securitate al KZ 3. În conformitate cu ordinul FSTEC al Rusiei din 18 februarie 2013 nr. 21 „La aprobare al Compoziției și conținutului măsurilor organizatorice și tehnice pentru asigurarea securității datelor cu caracter personal pe parcursul prelucrării acestora în sistemele informatice de date cu caracter personal”, este necesară implementarea următoarelor măsuri pentru asigurarea securității datelor cu caracter personal în „Contabilitatea și Personalul” al instituției. ISPD:

Condiţional desemnare	date personale	Lista obligatorie de măsuri pentru asigurarea securității datelor cu caracter personal pentru nivelul de securitate a datelor cu caracter personal UZ 3
Identificarea și autentificarea subiecților și obiectelor de acces (IAF)
	Identificarea și autentificarea utilizatorului, care sunt angajați ai operatorului
	Gestionarea identificatorilor, inclusiv crearea, atribuirea, distrugerea identificatorilor
	Managementul autentificării, inclusiv stocare, emitere, inițializare, blocare mijloace de autentificare și luare de măsuri în caz pierderea și (sau) compromiterea mijloacelor de autentificare
	Protecție la feedback la introducerea informațiilor de autentificare informație
	Identificarea și autentificarea utilizatorilor, nu care sunt angajați ai operatorului (externi utilizatori)
Controlul accesului subiecților de acces la obiectele de acces (UPD)
	Management (înființare, activare, blocare și distrugerea) conturilor de utilizator, inclusiv numărul de utilizatori externi
	Implementarea metodelor necesare (discreționare, obligatoriu, rol sau altă metodă), tipuri (lectura, înregistrare, execuție sau alt tip) și reguli controlul accesului
	Management (filtrare, rutare, control conexiuni, transmisie unidirecțională și alte metode de gestionare) fluxurile de informații între dispozitive, segmente ale sistemului informațional, precum și între sistemele informaționale
	Separarea puterilor (rolurilor) utilizatorilor, administratori și persoane care furnizează functionarea sistemului informatic
	Atribuirea drepturilor minime necesare și privilegii pentru utilizatori, administratori și persoane asigurarea functionarii sistemului informatic
	Limitarea încercărilor de conectare nereușite sistem informatic (acces la sistemul informatic)
	Blocarea unei sesiuni de acces la camera de informare sistem după o perioadă stabilită de inactivitate (inactivitatea) utilizatorului sau la cererea acestuia
	Permiterea (interzicerea) acțiunilor utilizatorului, permise înainte de identificare și autentificare
	Implementarea accesului la distanță securizat al subiecților de acces pentru a accesa obiecte prin extern rețele de informare și telecomunicații
	sistem informatic cu tehnologie wireless
	Reglarea și controlul utilizării în sistemul informatic al echipamentelor tehnice mobile
	Gestionarea interacțiunilor cu informațiile sisteme ale terților (externe Sisteme de informare)
III. Protecția suporturilor computerizate de stocare a datelor cu caracter personal (PDI)
	Distrugerea (stergerea) sau depersonalizarea date personale pe medii informatice atunci când sunt transfer între utilizatori, către terți organizații pentru reparații sau eliminare, precum și controlul distrugerii (stergerii) sau depersonalizarii
Înregistrare evenimente de securitate (SAR)
	Definirea evenimentelor de securitate care sunt supuse înregistrare și perioadele de stocare ale acestora
	Determinarea compoziției și conținutului informațiilor despre evenimente de securitate supuse înregistrării
	Colectarea, înregistrarea și stocarea informațiilor despre eveniment securitate pentru o anumită perioadă de timp depozitare
	Protejarea informațiilor despre evenimente de securitate
V. Protecție antivirus (AVP)
	Implementarea protecției antivirus
	Actualizați baza de date cu simptome de malware programe de calculator (viruși)
Controlul (analiza) securității datelor cu caracter personal (ȘI)
	Identificarea și analiza vulnerabilităților informaționale sisteme și eliminarea promptă a nou-identificate vulnerabilități
	Controlul instalării actualizărilor software software, inclusiv actualizări de software furnizarea de mijloace de securitate a informațiilor
	Monitorizarea performanței, setărilor și funcționarea corectă a software-ului
	Controlul compoziției hardware, software furnizarea și mijloacele de protecție a informațiilor
VII. Protecția mediului de virtualizare (VES)
	Identificarea și autentificarea subiecților de acces și accesează obiecte din infrastructura virtuală, inclusiv numărul de administratori de gestionare a fondurilor virtualizare
	Controlul accesului subiectului la obiecte acces în infrastructura virtuală, inclusiv în interiorul mașinilor virtuale
	Înregistrarea evenimentelor de securitate în virtual infrastructură
	Implementarea si managementul protectiei antivirus in infrastructura virtuală
	Împărțirea infrastructurii virtuale în segmente (segmentarea infrastructurii virtuale) pentru prelucrarea datelor cu caracter personal de către persoane fizice utilizator și (sau) grup de utilizatori
VIII. Protecția echipamentelor tehnice (TPS)
	Controlul și gestionarea accesului fizic la mijloace tehnice, mijloace de securitate a informațiilor, mijloace de asigurare a funcționării, precum și la spațiile și structurile în care sunt instalate, cu excepția accesului fizic neautorizat la mijloacele de prelucrare a informațiilor, mijloacele de securitate a informațiilor și mijloacele de asigurare a funcționării sistemului informațional; la incinta si structurile in care s-au instalat
	Amplasarea dispozitivelor de ieșire a informațiilor (afișare). ție, excluzând vizionarea sa neautorizată
IX. Protecția sistemului informațional, a instalațiilor sale, sisteme de comunicații și transmisii de date (3IS)
	Asigurarea protectiei datelor cu caracter personal de la dezvăluirea, modificarea și impunerea (introducerea de false informații) în timpul transmiterii acesteia (pregătirea pentru transmitere) prin canale de comunicare care trec dincolo zonă controlată, inclusiv wireless canale de comunicatie
	Protejarea conexiunilor wireless utilizate în Sistem informatic
X. Managementul configurației sistemului informațional și sistemele de protecție a datelor cu caracter personal (PDS)
	Determinarea persoanelor care sunt autorizate să acționeze asupra efectuarea de modificări în configurația sistemului informațional și a sistemului de protecție a datelor cu caracter personal
	Gestionarea modificărilor la configurația sistemului informatic și a sistemului de protecție a datelor cu caracter personal
	Analiza impactului potențial al planificat modificări în configurația sistemului informatic și a sistemului de protecție a datelor cu caracter personal pentru a asigura protecția datelor cu caracter personal și coordonarea modificărilor în configurația sistemului informatic cu funcționarul (angajat) responsabil cu asigurarea securității datelor cu caracter personal
	Documentarea informațiilor (datelor) despre modificări în configurația sistemului informatic și a sistemului de protecție a datelor cu caracter personal