Читайте также:
|
|
Для составления модели нарушителя также воспользуемся методикой, относящейся к персональным данным. В таблице №5 приведены категории нарушителей с их кратким описанием, указанием уровня знаний о ИСПДн и уровня технической подготовленности. Под уровнем технической подготовленности понимается степень технических навыков и знаний, а также технические ресурсы и средства, которые нарушитель может задействовать для достижения поставленной цели.
Таблица №5. Категории нарушителей
Категория | Описание нарушителя | Уровень знаний об объектах атак | Уровень технической подготовленности |
Внутренние нарушители | |||
К1 | Лица, имеющие санкционированный доступ к системе, но не имеющие доступа к данным | Низкий | Низкий |
К2 | Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места. К этой категории относятся сотрудники отдела энергосбережения | Высокий | Низкий |
К3 | зарегистрированные пользователи системы, осуществляющие удаленный доступ к данным по локальным системам | Не актуальна, т.к. возможность удаленного доступа отсутствует | Не актуальна, т.к. возможность удаленного доступа отсутствует |
К4 | Зарегистрированные пользователи с полномочиями системного администратора системы | Высокий | Средний |
К5 | Зарегистрированные пользователи с полномочиями администратора безопасности системы | Средний | Высокий |
К6 | Программисты-разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение | Низкий | Высокий |
К7 | Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств системы | Низкий | Низкий |
Внешние нарушители | |||
К8 | Физические и юридические лица, желающие заполучить доступ к конфиденциальной информации с целью извлечения выгоды | Низкий | Низкий |
В таблице №7 приведены типовые угрозы для локальных информационных систем персональных данных, имеющих подключение к сетям связи общего пользования, и оценка вероятности реализации каждой угрозы нарушителем определенной категории.
Таблица №7. Оценка вероятностей реализации угроз
№ | Угроза безопасности ПДн | Вероятность реализации угрозы нарушителем категории Кn | ||||||||
К1 | К2 | К3 | К4 | К5 | К6 | К7 | К8 | Y2 | ||
Угрозы утечки информации по техническим каналам | ||||||||||
1.1 | угрозы утечки акустической (речевой) информации | |||||||||
1.2 | угрозы утечки видовой информации | |||||||||
1.3 | угрозы утечки информации по каналу ПЭМИН | |||||||||
Угрозы НСД к ПДн | ||||||||||
2.1 | угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов | |||||||||
2.2 | угрозы внедрения вредоносных программ | |||||||||
2.3 | угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации | |||||||||
2.4 | угрозы сканирования | |||||||||
2.5 | угрозы выявления паролей |
Таблица №7. Оценка вероятностей реализации угроз (продолжение)
2.6 | угрозы получения НСД путем подмены доверенного объекта | |||||||||
2.7 | угрозы типа «Отказ в обслуживании» | |||||||||
2.8 | угрозы удаленного запуска приложений | |||||||||
2.9 | угрозы внедрения по сети вредоносных программ |
В таблице №8 проведен анализ актуальности угроз для безопасности персональных данных, исходя из возможности реализации угрозы и вербальной оценки её опасности. Возможность реализации определяется на основании коэффициента реализуемости угрозы, который рассчитывается по формуле Y=(Y1+Y2)/20.
Таблица №8. Анализ актуальности угроз
№ | Угроза безопасности ПДн | Возможность реализации угрозы | Опасность угрозы | Актуальность |
Угрозы утечки информации по техническим каналам | ||||
1.1 | угрозы утечки акустической (речевой) информации | Низкая (Y=0.25) | Низкая | - |
1.2 | угрозы утечки видовой информации | Средняя (Y=0.5) | Средняя | + |
1.3 | угрозы утечки информации по каналу ПЭМИН | Низкая (Y=0.25) | Низкая | - |
Угрозы НСД к ПДн | ||||
2.1 | угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов | Низкая (Y=0.25) | Средняя | - |
2.2 | угрозы внедрения вредоносных программ | Средняя (Y=0.5) | Средняя | + |
2.3 | угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации | Средняя (Y=0.5) | Средняя | + |
2.4 | угрозы сканирования | Низкая (Y=0.25) | Низкая | - |
2.5 | угрозы выявления паролей | Средняя (Y=0.5) | Средняя | + |
2.6 | угрозы получения НСД путем подмены доверенного объекта | Средняя (Y=0.5) | Средняя | + |
2.7 | угрозы типа «Отказ в обслуживании» | Низкая (Y=0.25) | Низкая | - |
2.8 | угрозы удаленного запуска приложений | Низкая (Y=0.25) | Низкая | - |
2.9 | угрозы внедрения по сети вредоносных программ | Средняя (Y=0.5) | Средняя | + |
Заключение
Результатом курсовой работы является проект защиты персональных данных сотрудников и студентов частного колледжа в соответствии с требованиями постановлений Президента РФ, Правительства России, технических документов ФСБ и ФСТЭК России. Были проработаны следующие этапы создания проекта:
- определение перечня необходимых организационных мероприятий,
- разработка перечня персональных данных,
- составление перечня допущенных подразделений и сотрудников,
- рассмотрение и анализ топологии информационной системы ПДн,
- определение помещений для обработки персональных данных,
- классификация ИСПД,
- разработка частной модели угроз.
Список литературы
1. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.
2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.
3. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 стр.
4. Торокин А.А. «Основы инженерно-технической защиты информации». – М.:
5. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.
Дата добавления: 2014-12-23; просмотров: 38 | Поможем написать вашу работу | Нарушение авторских прав |