În carte, toate cele 10 de pagini numerotate pentru uz oficial
de stat sau municipale ISPDn;
PDIuri creat și (sau) operate de către întreprinderi, organizații și agenții (denumiți în continuare - organizații), indiferent de proprietate necesare pentru îndeplinirea funcțiilor acestor organizații, în conformitate cu destinația lor;
ISPDn create și utilizate de către persoane fizice, cu excepția cazului când acesta din urmă folosesc aceste sisteme exclusiv pentru nevoi personale și familiale.
Documentul este destinat specialiștilor în domeniul securității informației, șefii organizațiilor și întreprinderilor, organizarea și desfășurarea lucrărilor privind prelucrarea PD în PDIuri.
1. Dispoziții generale
amenințările la adresa securității PD poate fi realizat din cauza canalelor de scurgere tehnice PD (canale de scurgere de informații tehnice prelucrate în mijloace tehnice de interceptare PDIuri canale tehnice în timpul transmiterii de canale de comunicare, canale de scurgere tehnice acustice (vorbire) informații) sau ca urmare a accesului neautorizat utilizând software-ul corespunzător.
O descriere detaliată a riscurilor asociate cu scurgeri PD prin canale tehnice, vezi „Modelul de bază al amenințărilor de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal.“ Identificarea canalelor tehnice de scurgere a PD se bazează pe documentele normative și metodologice FSTEC Romania.
Surse de amenințări care apar ca urmare a accesului neautorizat la bazele de date utilizând software-ul regulate sau speciale sunt actori ale căror acțiuni a fost încălcat reglementată în normele ISPDn care restricționează accesul la informație. Acești agenți pot fi:
malware media;
Sub denumit în continuare contravenient se referă la o persoană (e) care comite accidental sau intenționat un act care au ca rezultat o încălcare a securității PD, deoarece acestea sunt prelucrate prin mijloace tehnice în sistemele de informații. În ceea ce privește disponibilitatea dreptului de acces legal în camere, care găzdui hardware-ul, care oferă acces la resursele ISPDn, infractorii sunt împărțite în două tipuri:
infractorii care nu au acces la ISPDn realizarea amenințării din rețelele publice de comunicații externe și rețeaua de schimb de informații internaționale (sau), - intruși externi;
infractorii care au acces la PDIuri, inclusiv utilizatorii ISPDn realizau amenințarea direct ISPDn - din interior.
ISPDn pentru furnizarea de servicii de informare pentru utilizatorii de la distanță, care încalcă legea externe pot fi persoana îndreptățită să exercite accesul neautorizat la informații utilizând un efecte speciale de programare, marcajele algoritmice și software prin intermediul stațiilor de lucru dispozitive terminale ISPDn, care sunt conectate la rețelele publice.
Posibilitatea insider depind substanțial
procedura stabilită pentru admiterea persoanelor la resursele informaționale ISPDn și măsuri pentru a controla ordinea operațiilor.
Amenințare accesului neautorizat de intruși din afara, folosind un protocoale implementate de interoperare.
O descriere detaliată a riscurilor asociate cu accesul neautorizat de date cu caracter personal ISPDn date în „modelul de bază al amenințărilor de securitate a datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal.“
Identificarea amenințărilor de a falsifica PD implementate cu ajutorul software-ului și firmware-ului, realizat pe baza tehnicii de experți, inclusiv prin intervievarea experților, ofițeri de stat major ISPDn, în timp ce se poate utiliza instrumente speciale (scanere de rețea) pentru a confirma prezența
și de a identifica vulnerabilitățile de software și hardware ISPDn. chestionare speciale sunt pregătite pentru interviu.
Disponibilitatea sursa amenințării și punctul de eșec, care poate fi folosit pentru a pune în aplicare amenințarea, indică prezența amenințării. Formarea pe baza interogarea listei surselor de amenințări PD, pe baza unui sondaj și de scanare în rețea lista de link-uri vulnerabile ISPDn și, conform sondajului ISPDn - lista canalelor tehnice de scurgere de informații, determinate de condițiile de existență în amenințărilor de securitate a informațiilor PDIuri și le face o listă completă. Pe baza acestei liste, în conformitate cu procedura descrisă mai jos este format dintr-o listă de amenințări reale la adresa securității PD.
2. Procedura de determinare a amenințărilor actuale la adresa securității sistemelor informaționale de date cu caracter personal de date cu caracter personal
amenințare reală este considerată, care poate fi pusă în aplicare în PDIuri și prezintă un risc de PD. Abordarea la elaborarea unei liste de amenințări reale este după cum urmează.
Pentru a evalua fezabilitatea amenințării a doi indicatori sunt utilizați: nivelul inițial de protecție ISPDn și frecvență (probabilitate) a punerii în aplicare a amenințărilor avute în vedere.
Sub nivelul de securitate inițial PDIuri înțeles parametru generalizat, care depinde de caracteristicile tehnice și de funcționare PDIuri specificate în tabelul 1.
Indicatori de securitate originală ISPDn
Gradul inițial de securitate este definit după cum urmează.
1. PDIuri are un nivel ridicat de protecție inițială, dacă cel puțin 70% Caracteristicile PDIuri corespund nivelului „ridicat“ (soluții pozitive sunt însumate prin prima coloană corespunzătoare nivelului ridicat de securitate), iar restul - nivelul mediu de protecție (soluții pozitive pentru a doua coloană).
2. PDIuri are un nivel mediu inițial de protecție, în cazul în care nu sunt îndeplinite condițiile de revendicarea 1 și cel puțin 70% caracteristici PDIuri corespund nivelului nu mai mic decât „media“ (raportul dintre suma este luat decizii pozitive a doua coloană, care corespunde unui nivel mediu de securitate, ceea ce face suma totală) iar restul - un nivel scăzut de securitate.
3. Sursa PDIuri are un grad scăzut de securitate, cu excepția cazului în condițiile punctelor 1 și 2.
În întocmirea listei de amenințări de securitate actuale PD fiecare grad de protecție inițială este atribuit un coeficient numeric, și anume:
0 - pentru un grad ridicat de securitate a originalului;
5 - până la moderată garanția inițială;
10 - pentru securitatea de calitate inferioară inițială.
În conformitate cu frecvența (probabilitate), se înțelege că o amenințare este determinată de măsură expert al cât de probabil este punerea în aplicare a unui risc de securitate special pentru această situație PD PDIuri în condiții de dezvoltare. Introdus patru gradație verbală a acestui indice:
puțin probabil - nu există premise obiective pentru punerea în aplicare a amenințărilor (de exemplu, amenințarea de furt de persoane mass-media care nu au acces legal la camera unde este stocat trecut);
probabilitate mică - condițiile prealabile obiective pentru realizarea amenințărilor există, dar măsurile împiedică în mod semnificativ punerea în aplicare a acestuia (de exemplu, utilizați protecția corespunzătoare a informațiilor);
probabilitate medie - precondițiile obiective pentru realizarea unei amenințări acolo, dar luate măsuri de securitate sunt insuficiente PD;
mare probabilitate - precondițiile obiective pentru realizarea amenințărilor există și măsuri pentru a asigura securitatea PD nu sunt acceptate.
În întocmirea listei de amenințări de securitate actuale fiecare probabilitate PD gradație a unei amenințări este asociată cu un factor numeric, și anume:
0 - pentru o amenințare puțin probabilă;
2 - pentru cea mai mică probabilitate de amenințare;
5 - pentru probabilitatea medie de amenințare;
10 - cu probabilitatea mare de amenințare.
Având în vedere raportul Y realizability amenințarea este determinată de relația
Interpretarea realizability verbale semnificativ realizability amenințare coeficient Y amenințare format după cum urmează:
în cazul în care. posibilitatea de realizare a amenințării considerat scăzut;
în cazul în care. posibilitatea de realizare a amenințării este recunoscută mediu;
în cazul în care. posibilitatea de realizare a amenințării este recunoscută ridicată;
în cazul în care. posibilitatea de realizare a amenințării este recunoscută foarte mare.
În plus, fiecare estimat amenințare de pericol. În evaluarea riscului pe baza unui sondaj de experți (experți în domeniul securității informațiilor) este determinată printr-un indicator verbal de pericol pentru a considerat ISPDn. Acest indicator are trei semnificații:
Risc scăzut - în cazul în care punerea în aplicare amenințarea poate duce la consecințe negative ușoare pentru subiecți de date cu caracter personal;
pericol mediu - în cazul în care amenințarea de punere în aplicare poate duce la consecințe negative pentru subiecții datelor cu caracter personal;
risc ridicat - în cazul în care amenințarea de punere în aplicare poate duce la consecințe negative semnificative pentru subiecții datelor cu caracter personal.
Apoi, o varietate de comune (preliminar) a listei de amenințări de securitate cele care se referă la real PDIuri pentru acest lucru, în conformitate cu regulile prezentate în tabelul 2.
Termenii de referință a amenințării securității la PD curente
Folosind datele din clasa ISPDn și compilat o listă a amenințărilor actuale, bazate pe „Recomandările privind asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal“ și „activitățile principale ale organizației și suport tehnic de securitate a datelor cu caracter personal prelucrate date cu caracter personal în sistemele de informații“ cerințele organizatorice și tehnice specifice formulate de protecție împotriva scurgerilor PDIuri canale tehnice din Ven neautorizate na și selectează software și hardware de protecție a informațiilor care pot fi utilizate în crearea și în continuare PDIuri funcționare.
Dacă ați găsit o greșeală în text, evidențiați mouse-ul și apăsați pe Ctrl + Enter sau utilizați Serviciile feedback din colțul din dreapta sus al paginii