Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Модель нарушителя

Читайте также:
  1. B) биномиальная модель;
  2. H) Экономика-математикалық модельдеу
  3. I. Биологическая модель
  4. II. 10. МОДЕЛЬ РАЗВИТИЯ НА УКИ
  5. IV. Практическое задание №3. Модель множественной регрессии
  6. Альтернативная модель
  7. Американс модель менеджмента
  8. Американская модель менеджмента
  9. Американська модель
  10. Анализ динамики рынка, модель жизненного цикла

Для составления модели нарушителя также воспользуемся методикой, относящейся к персональным данным. В таблице №5 приведены категории нарушителей с их кратким описанием, указанием уровня знаний о ИСПДн и уровня технической подготовленности. Под уровнем технической подготовленности понимается степень технических навыков и знаний, а также технические ресурсы и средства, которые нарушитель может задействовать для достижения поставленной цели.

Таблица №5. Категории нарушителей

Категория Описание нарушителя Уровень знаний об объектах атак Уровень технической подготовленности
Внутренние нарушители
К1 Лица, имеющие санкционированный доступ к системе, но не имеющие доступа к данным Низкий Низкий
К2 Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места. К этой категории относятся сотрудники отдела энергосбережения Высокий Низкий
К3 зарегистрированные пользователи системы, осуществляющие удаленный доступ к данным по локальным системам Не актуальна, т.к. возможность удаленного доступа отсутствует Не актуальна, т.к. возможность удаленного доступа отсутствует
К4 Зарегистрированные пользователи с полномочиями системного администратора системы Высокий Средний
К5 Зарегистрированные пользователи с полномочиями администратора безопасности системы Средний Высокий
К6 Программисты-разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение Низкий Высокий
К7 Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств системы Низкий Низкий
Внешние нарушители
К8 Физические и юридические лица, желающие заполучить доступ к конфиденциальной информации с целью извлечения выгоды Низкий Низкий

 

В таблице №7 приведены типовые угрозы для локальных информационных систем персональных данных, имеющих подключение к сетям связи общего пользования, и оценка вероятности реализации каждой угрозы нарушителем определенной категории.

Таблица №7. Оценка вероятностей реализации угроз

Угроза безопасности ПДн Вероятность реализации угрозы нарушителем категории Кn
К1 К2 К3 К4 К5 К6 К7 К8 Y2
  Угрозы утечки информации по техническим каналам
1.1 угрозы утечки акустической (речевой) информации                  
1.2 угрозы утечки видовой информации                  
1.3 угрозы утечки информации по каналу ПЭМИН                  
  Угрозы НСД к ПДн
2.1 угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов                  
2.2 угрозы внедрения вредоносных программ                  
2.3 угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации                  
2.4 угрозы сканирования                  
2.5 угрозы выявления паролей                  

 

Таблица №7. Оценка вероятностей реализации угроз (продолжение)

2.6 угрозы получения НСД путем подмены доверенного объекта                  
2.7 угрозы типа «Отказ в обслуживании»                  
2.8 угрозы удаленного запуска приложений                  
2.9 угрозы внедрения по сети вредоносных программ                  

В таблице №8 проведен анализ актуальности угроз для безопасности персональных данных, исходя из возможности реализации угрозы и вербальной оценки её опасности. Возможность реализации определяется на основании коэффициента реализуемости угрозы, который рассчитывается по формуле Y=(Y1+Y2)/20.

Таблица №8. Анализ актуальности угроз

Угроза безопасности ПДн Возможность реализации угрозы Опасность угрозы Актуальность
  Угрозы утечки информации по техническим каналам
1.1 угрозы утечки акустической (речевой) информации Низкая (Y=0.25) Низкая -
1.2 угрозы утечки видовой информации Средняя (Y=0.5) Средняя +
1.3 угрозы утечки информации по каналу ПЭМИН Низкая (Y=0.25) Низкая -
  Угрозы НСД к ПДн
2.1 угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов Низкая (Y=0.25) Средняя -
2.2 угрозы внедрения вредоносных программ Средняя (Y=0.5) Средняя +
2.3 угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации Средняя (Y=0.5) Средняя +
2.4 угрозы сканирования Низкая (Y=0.25) Низкая -
2.5 угрозы выявления паролей Средняя (Y=0.5) Средняя +
2.6 угрозы получения НСД путем подмены доверенного объекта Средняя (Y=0.5) Средняя +
2.7 угрозы типа «Отказ в обслуживании» Низкая (Y=0.25) Низкая -
2.8 угрозы удаленного запуска приложений Низкая (Y=0.25) Низкая -
2.9 угрозы внедрения по сети вредоносных программ Средняя (Y=0.5) Средняя +

Заключение

Результатом курсовой работы является проект защиты персональных данных сотрудников и студентов частного колледжа в соответствии с требованиями постановлений Президента РФ, Правительства России, технических документов ФСБ и ФСТЭК России. Были проработаны следующие этапы создания проекта:

- определение перечня необходимых организационных мероприятий,

- разработка перечня персональных данных,

- составление перечня допущенных подразделений и сотрудников,

- рассмотрение и анализ топологии информационной системы ПДн,

- определение помещений для обработки персональных данных,

- классификация ИСПД,

- разработка частной модели угроз.

 


 

Список литературы

1. Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.

2. Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.

3. Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 стр.

4. Торокин А.А. «Основы инженерно-технической защиты информации». – М.:

5. Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр.

 




Дата добавления: 2014-12-23; просмотров: 38 | Поможем написать вашу работу | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2024 год. (0.007 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав