При их обработке в информационных системах
Модели угроз безопасности персональных данных
Лекция
Л И Т Е Р А Т У Р А
1. Власов В.Г. Конспект лекций по высшей математике. М.: Айрис. 1996.287с.
2. Данко П.Е. , Попов А.Г. , Кожевникова Т.Я. Высшая математика в упражнениях и задачах. Ч. 1. М.: Высш. шк., 2003.-415с.
3. Письменный Д.Т. Конспект лекций по высшей математике . Ч.1,2.- 2-е изд.,- М.: Айрис – пресс, 2003.- 546 с.
4. Труппова В.А. и др. Теория функций комплексного переменного. Конспект лекций и практических занятий. – Иркутск:Из-во ИрГТУ, 2007-60с.
5. Шнейдер В.Б. и др. Краткий курс высшей математики . М.: Высш. шк. Ч.1. , 1972.- 285с.
персональных данных (часть 1)
Учебные вопросы:
1. Основные понятия и определения модели угроз безопасности персональных данных в ИСПДн.
2. Классификация угроз безопасности персональных данных
3. Угрозы утечки информации по техническим каналам
1. Учебный вопрос.
Рассмотрим понятие, формирование и использование моделей угроз безопасности информации в автоматизированных системах на примере «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» - руководящий документ ФСТЭК России, 2008 г.
Настоящая «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающих условия (предпосылки) для нарушения безопасности персональных данных (ПДн), которое ведет к ущербу жизненно важных интересов личности, общества и государства.
Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных (ИСПДн), связанным:
- с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
- с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
Модель угроз является методическим документом и предназначена
для государственных и муниципальных органов, юридических и (или) физических лиц (далее – операторов), организующих и (или) осуществляющих обработку ПДн, а также определяющих цели и содержание обработки ПДн, заказчиков и разработчиков ИСПДн и их подсистем. С применением Модели угроз решаются следующие задачи:
- разработка частных моделей угроз безопасности ПДн в конкретных ИСПДн с учетом их назначения, условий и особенностей функционирования;
- анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
- контроль обеспечения уровня защищенности персональных данных.
В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угрозы безопасности персональных данных (УБПДн), основных классов уязвимостей ИСПДн, возможных видов деструктивных воздействий на ПДн, а также основных способов их реализации.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модель угроз осуществляется ФСТЭК России в устанавливаемом порядке.
Для начала договоримся об использовании единой терминологии.