Модели угроз и модели нарушителя для персональных данных на примере отдела Пенсионного Фонда РФ
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также промокод на новый заказ в Автор24. Это бесплатно.
Введение
Процесс моделирования угроз является основополагающей базой для разработки системы защиты информации и ее актуализации. На основании актуальных угроз делается заключение о достаточности или недостатке процесса обработки информации и ее защиты. В процессе моделирования угроз определяются: - факторы, воздействующие на информацию; - каналы воздействия на информацию; - вероятность реализации угрозы; - деструктивное воздействие в следствии реализации угрозы; - актуальность угрозы. Цель настоящей работы: произвести определение и оценку угроз персональных данных на примере отдела Пенсионного Фонда Российской Федерации. Актуальность работы обусловлена растущим количеством инцидентов информационной безопасности в сфере обеспечения безопасности персональных данных, а также увеличившимся количеством утечек персональных данных субъектов при их обработке в информационных системах персональных данных. Задачи работы: - провести оценку объекта исследования и процесса обработки персональных данных; - определить категории потенциальных нарушителей информационной безопасности персональных данных; - провести моделирование и оценку угроз безопасности персональных данных. Объектом исследования в настоящей работе является отдел организации персонифицированного учета, взаимодействия со страхователями и застрахованными лицами Пенсионного Фонда Российской Федерации.
Модель нарушителя
Источники угроз информационной безопасности можно классифицировать следующим образом: 1.По природе возникновения •Субъективные •Объективные 2.По отношению к самой системе (объекту) •Внешние •Внутренние Субъективные источники угроз можно разделить на:...
Открыть главуОбщая классификация угроз безопасности ПДн
Угроза информационной безопасности персональных данных (далее – УБПДн) реализуется в результате образования канала реализации между источником угрозы и объектом воздействия, что создает необходимые условия для нарушения ее безопасности. Каналы реализ...
Определение актуальных угроз
Таким образом в ИСПДн СПУ возможны: 1.Угрозы, реализуемые в ходе загрузки операционной системы: -перехват паролей или идентификаторов; -модификация базовой системы ввода/ вывода (BIOS), перехват управления загрузкой; 2.Угрозы, реализуемые после загру...
Меры противодействия угрозам
Основной мерой противодействия угрозам информационной безопасности ИСПДн СПУ является создание и внедрение системы защиты персональных данных (далее – СЗПДн). СЗПДн представляет собой системный комплекс решений, направленный на нейтрализацию, противо...
Открыть главуЗаключение
Таким образом в настоящей работе было произведено определение и оценка угроз персональных данных на примере отдела Пенсионного Фонда Российской Федерации. В процессе разработки были поставлены и решены следующие задачи: - проведена оценка объекта исследования и процесса обработки персональных данных, по результатам оценки установлено наличие информационной системы персональных данных, обрабатывающие персональные данные физических лиц, не являющихся сотрудниками оператора, система имеет сложную распределенную структуру, сочетающую в себе множество средств вычислительной техники и средств связи, охватывающих отделения объекта на всей территории Российской Федерации; - определены категории потенциальных нарушителей информационной безопасности персональных данных, ими являются внешние нарушители: криминальные структуры, конкуренты, инсайдеры, внутренние нарушители: зарегистрированные пользователи, осуществляющие локальный и удаленный доступ к информационной системе персональных данных, а также обслуживающий персонал; - проведено моделирование и оценка угроз безопасности персональных данных, по результатам моделирования актуальными признаны угрозы: внедрения вредоносных программ, угрозы удаленного запуска приложений, угрозы отказа в обслуживании, угрозы выявления паролей, угрозы навязывания ложного маршрута, угрозы внедрения ложного объекта сети, угрозы получения НСД путем подмены доверенного объекта, угрозы сканирования сети, угрозы «Анализа сетевого трафика», угрозы, реализуемые в процессе и после загрузки операционной системы. Таким образом установлена методологическая база на проектирование и разработку комплекса системы защиты персональных данных нейтрализующего данные угрозы.
Список литературы
Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных данных". Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год. Политика пенсионного фонда российской федерации в отношении обработки персональных данных и реализации требований к их защите. Утверждена распоряжением Правления ПФР от 21 декабря 2011 г. № 499р.4. 5. Пенсионный Фонд России [Офиц.сайт]. URL: http://www.pfrf.ru/ (дата обращения 05.06.2018). 6. ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.», 2006г. 7. Министерство финансов Российской Федерации Федеральная. Налоговая служба. Приказ от 21 декабря 2011 года N ММВ-7-4/959. Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов. 8. Н.С. Кармановский, О.В. Михайличенко, С.В. Савков. Организационно-правовое и методическое обеспечение информационной безопасности. Санкт-Петербург 2013. ИТМО.