Файл: Утверждаю директор ооо Организация Д. В. Гусев 13 марта 2021г. Модель угроз безопасности информации испдн ооо Организация.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.05.2024
Просмотров: 46
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы.
2.2 Описание процессов передачи информации.
2.3 Перечень программных средств, используемых для обработки персональных данных в ООО «Организация»
2.4 Перечень структурных подразделений работающих с БД ПДн ООО «Организация»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн ООО «Организация»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
7. Актуальные угрозы безопасности информации
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013г. N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в информационных системах персональных данных в ООО «Организация», таблица 3.
Таблица 3
| № | Характеристика | Значение |
| 1 | Категория персональных данных | Иные категории ПДн |
| 2 | Субъекты ПДн | 2.Не являются сотрудниками оператора |
| 3 | Объем обрабатываемых ПДн | до 100 000 субъектов ПДн |
| 4 | Тип актуальных угроз (на основании разработанной частной модели угроз и анализа актуальных угроз в ИСПДн) | Угрозы 3-го типа |
| 5 | Структура информационной системы | локальная информационная система |
| 6 | Подключение информационных систем к сетям общего пользования и (или) сетям международного информационного обмена | Имеется подключение к сети международного информационного обмена (СМИО) «Интернет» |
| 7 | Режим обработки персональных данных | Многопользовательский |
| 8 | Разграничению прав доступа пользователей | С разграничением прав доступа |
По результатам анализа исходных данных информационной системы персональных данных, анализа актуальности угроз безопасности в разработанной частной модели угроз ООО «Организация», информационной системае персональных данных ООО «Организация» присвоен
4 уровень защищенности.
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
К основным негативным последствиям от реализации угроз безопасности информации (УБИ) определено хищение денежных средств (рис. 3). Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.
Рис. 3 – Возможные негативные последствия УБИ ООО «Организация»
4. Возможные объекты воздействия угроз безопасности информации
Актуальные объекты воздействия, интерфейсы доступа и возможные виды воздействия на них изображены на рис. 4.
Рис. 4 – Возможные объекты воздействия УБИ ООО «Организация»
Таблица 4 – Расшифровка интерфейсов доступа (для Н1, Н2)
| Доступные интерфейсы | Шифр |
| Доступ через локальную вычислительную сеть организации | ИНТ1 |
| Съемные машинные носители информации, подключаемые к АРМ пользователя | ИНТ2 |
| Веб-интерфейс пользователя веб-сайта государственных услуг | ИНТ3 |
| Сетевые интерфейсы коммутатора сети, где расположен веб-сервер | ИНТ4 |
| Локальная вычислительная сеть организации | ИНТ5 |
| Веб-интерфейс системы администрирования веб-сайта портала государственных услуг | ИНТ6 |
Таблица 5 – Расшифровка видов воздействия (для У2)
| Виды воздействия | Шифр |
| Несанкционированная подмена данных, содержащихся в реквизитах платежного поручения | В1 |
| Несанкционированная модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора | В2 |
| Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора | В3 |
| Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации на АРМ главного бухгалтера | В4 |
| Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации | В5 |
| Модификация информации и отправка электронных писем с недостоверной информацией от имени руководителя организации | В6 |
5. Источники угроз безопасности информации
Актуальные цели нарушителей, возможные негативные последствия, вид нарушителя, его категория и возможности изображены на рис. 5.
Рис. 5 – Возможные источники УБИ ООО «Организация»
Таблица 6 – Расшифровка Целей нарушителя
| Цели нарушителя | Шифр |
| Желание самореализоваться | Ц1 |
| Любопытство или желание самореализации (подтверждение статуса). | Ц2 |
| Месть за ранее совершенные действия | Ц3 |
| Получение финансовой выгоды за счет кражи и коммерческой тайны | Ц4 |
| Получение финансовой выгоды за счет кражи и продажи персональных данных граждан | Ц5 |
| Получение финансовой или иной материальной выгоды. | Ц6 |
| Передача информации о юридическом лице третьим лицам | Ц7 |
| Получение конкурентных преимуществ | Ц8 |
| Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства | Ц9 |
| Получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты | Ц10 |
| Непреднамеренные, неосторожные или неквалифицированные действия | Ц11 |
| Получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой) | Ц12 |
6. Способы реализации (возникновения) угроз безопасности информации
Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации УБИ (рис.6).
Рис. 6 – Способы реализации УБИ ООО «Организация»
Таблица 7 – Расшифровка способов реализации
| Способы реализации | Шифр |
| Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования | С1 |
| Использование уязвимостей конфигурации системы управления базами данных | С2 |
| Установка программных закладок в телекоммуникационное оборудование | С3 |
| Использование уязвимостей кода коммутационного контроллера | С4 |
| Извлечение аутентификационной информации из постоянной памяти носителя (инвазивный метод) | С5 |
| Внедрение вредоносного программного обеспечения | С6 |
| Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя | С7 |
| Использование уязвимостей кода программного обеспечения веб-сервера | С8 |
| Внедрение вредоносного кода в веб-приложение | С9 |
| Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя | С10 |
| Ошибочные действия в ходе настройки АРМ главного бухгалтера | С11 |
| Нарушение цепочки услуг по администрированию портала государственных услуг | С12 |
7. Актуальные угрозы безопасности информации
7.1 Актуальные техники и тактики реализации угроз.
Из общего состава техник и тактик, приведенных в Методике, исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик. (рис. 7.)
