Постановление от 09.03.2011г. № 6 О определении актуальных

ПОСТАНОВЛЕНИЕ
Главы муниципального образования «Старомоньинское»
От 09 марта 2011 г.
№ 6
д. Старая Монья
о определении актуальных угроз безопасности
в информационной системе персональных данных
администрации муниципального образования
«Старомоньинское»
В соответствии со статьей 19 Федерального закона № 152-ФЗ от 27 июля
2006г. «О персональных данных» и «Положения об обеспечении безопасности
персональных данных при их обработке в информационных системах
персональных данных» от 17 ноября 2007г., ПДн должны быть защищены от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, распространения ПДн, а также от иных
неправомерных действий, руководствуясь Уставом муниципального образования
«Старомоньинское»:
1. Утвердить прилагаемый Акт определения актуальных угроз безопасности
в информационной системе персональных данных администрации муниципального
образования «Старомоньинское».
Глава муниципального образования
«Старомоньинское»
Н.Г.Алексеева
1
УТВЕРЖДЕНО
Постановлением Главы
муниципального образования
«Старомоньинское»
От 09. 03.2011 г. № 6
Акт
определения актуальных угроз безопасности
в информационной системе персональных данных
администрации муниципального образования
«Старомоньинское»
Обозначения и сокращения:
ПДн – персональные данные
ИСПДн – информационная система персональных данных
АРМ – автоматизированное рабочее место
Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по
техническим каналам либо за счет несанкционированного доступа к базам данных
с использованием штатного или специально разработанного программного
обеспечения.
Актуальной считается угроза, которая может быть реализована в ИСПДн и
представляет опасность для ПДн.
Для оценки возможности реализации угрозы применяются два показателя:
уровень исходной защищенности ИСПДн и частота (вероятность) реализации
рассматриваемой угрозы.
1. Общие положения
Наименование системы: Автоматизированная Информационная Система
Сельского Административного Образования (АИС САО). Данная информационная
система установлена в здании администрации муниципального образования
«Старомоньинское» по адресу: Удмуртская Республика Малопургинский район д.
Старая Монья ул. Октябрьская, дом № 21А
Назначение ИСПДн: АИС «САО» - обработка сведений, необходимых для
оказания услуг в области решения вопросов местного значения
Категория персональных данных (ХПД) категория 2 – обрабатываются
персональные данные, позволяющие идентифицировать субъекта персональных
данных и получить о нем дополнительную информацию, ХНПД=2 (обрабатываются
данные субъектов, проживающих в пределах муниципального образования).
По структуре информационная система является автономной АРМ, не
подключенная к иным информационным системам, с многопользовательским
режимом обработки персональных данных с разграничением прав доступа
пользователей информационной системы.
2
В соответствии п.15 Порядка классификации информационной системе присвоен
класс безопасности К2.
3
Таблица 1
Информационная система персональных данных,
в которой должна быть обеспечена безопасность информации
Нахождение ИСПДн (ее
составных частей) в
пределах России
Разграничение доступа
пользователей
5
6
7
8
В пределах Российской
федерации
Режим обработки ПДн
Структура ИСПДн
4
С разграничением прав доступа
3
Администрация МО
«Старомоньинское», УР,
Малопургинский район д.
Старая Монья, ул.
Октябрьская, 21А
Многопользовательский
2
Автоматизированная
информационная
система сельского
административного
образования
Не имеет подключения к сети
Интернет
1
1.
Наименование ИСПДн
(ее составной части)
Автономная информационная
система
№ п/п
Наименование объекта
(полное и сокращенное)
Отраслевая
(ведомственная
принадлежность
Адрес объекта
Наличие подключения к
ССОП и сетям МИО
(Интернет)
Исходные данные классификации ИСПДн
Класс ИСПДн
9
К2
Примечание
10
4
2. Степень исходной защищенности ИСПДн (согласно методики
определения актуальных угроз безопасности ПДн при их обработке в
ИСПДн.
Уровни защищенности:
По территориальному размещению – высокий (в пределах одного здания),
По наличию соединения с сетями общего пользования – высокий,
По встроенным (легальным операциям с записями баз ПДн) – низкий,
По разграничению доступа к ПДн – средний,
По наличию соединений с другими базами ПДн иных ИСПДн – высокий,
По уровню обобщения ПДн – средний,
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без
предварительной обработки – средний.
Исходная степень защищенности определяется:
1. ИСПДн имеет высокий уровень исходной защищенности (Y 1= 0), если не
менее 70% характеристик ИСПДн соответствуют уровню «высокий», а
остальные – среднему уровню защищенности.
2. ИСПДн имеет средний уровень исходной защищенности (Y1= 5), если не
выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн
соответствуют уровню не ниже «средний», а остальные – низкому уровню
защищенности.
3. ИСПДн имеет низкий уровень исходной защищенности (Y1= 10), если не
выполняются условия по пунктам 1 и 2.
ИСПДн администрации муниципального образования «Старомоньинское» имеет
средний уровень исходной степени защищенности, так как не менее 70%
характеристик ИСПДн соответствуют уровню не ниже «средний», Y1= 5.
3. Определение частоты (вероятности) реализации угрозы - Y2
Частота (вероятность) реализации угрозы – определяемый экспертным путем
показатель, характеризующий, насколько вероятным является реализация
конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся
условиях обстановки.
Существует 4 вербальных градации этого показателя:
маловероятно (Y2= 0) – отсутствуют объективные предпосылки для
осуществления угрозы;
низкая вероятность (Y2= 2) - объективные предпосылки для
осуществления угрозы существуют, но принятые меры существенно затрудняют
ее реализацию;
средняя вероятность (Y2= 5) - объективные предпосылки для
осуществления угрозы существуют, но принятые меры обеспечения
безопасности ПДн недостаточны;
5
высокая вероятность - (Y2= 10) объективные предпосылки для
осуществления угрозы существуют, и меры по обеспечению безопасности ПДн
не приняты.
4. Определение коэффициента реализуемости угрозы ИСПДн - Y
Коэффициент реализуемости угрозы определяется:
Y = (Y1 +Y2) / 20
если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы признается низкой;
если 0,3 < Y ≤ 0,6, то возможность реализации угрозы признается средней;
если 0,6 < Y ≤ 0,8, то возможность реализации угрозы признается высокой;
если Y > 0,8, то возможность реализации угрозы признается очень высокой.
5. Определение опасности каждой угрозы
Существует 3 вербальных значения показателя:
низкая опасность – если реализация угрозы может привести к
незначительным негативным последствиям для субъектов персональных
данных;
средняя опасность – если реализация угрозы может привести к негативным
последствиям для субъектов персональных данных;
высокая опасность – если реализация угрозы может привести к
значительным негативным последствиям для субъектов персональных данных.
6.
Определение актуальности угроз
Правила отнесения угрозы безопасности ПДн к актуальной
Возможность
реализации угрозы
Низкая
Средняя
Высокая
Очень высокая
Низкая
неактуальная
неактуальная
актуальная
актуальная
Показатель опасности угрозы
Средняя
неактуальная
актуальная
актуальная
актуальная
Высокая
актуальная
актуальная
актуальная
актуальная
Угрозы утечки информации по техническим каналам
Перечень угроз:
 Угрозы утечки акустической информации,
 Угрозы утечки видовой информации,
 Угрозы утечки информации по каналу ПЭМИН
 Угрозы НСД к ПДн, обрабатываемых в автоматизированном рабочем месте.
Угроза утечки акустической информации неактуальна, так как АРМ не имеет
функции голосового ввода ПДн в ИСПДн и функции воспроизведения ПДн
акустическими средствами ИСПДн, кроме информации, которую может сообщить
оператор, обрабатывающий ПДн. Реализация утечки видовой информации за счет
просмотра информации с помощью оптических или оптикоэлектронных средств с
экранов дисплеев лицами, не имеющими легального доступа в помещение с ИСПДн
возможна, но принятые меры существенно затрудняют ее реализацию. При
6
пользовании отчуждаемыми носителями информации может возникнуть угроза
внедрения вредоносных программ, и как следствие, угроза модификации,
уничтожения, блокирования ПДн, но наличие антивирусной защиты существенно
затрудняет ее реализацию. Утечка информации при передаче данных по сети
Интернет невозможна, т.к. отсутствует физическое соединение с сетями общего
пользования.
Угрозы НСД к информационной системе к информации в ИСПДн.
Угрозы НСД в ИСПДн с применением программных и программно-аппаратных
средств реализуются при осуществлении несанкционированного, в том числе
случайного доступа, в результате которого осуществляется нарушение
конфиденциальности (копирования, несанкционированного распространения),
целостности (уничтожения, изменения) и доступности (блокирования) ПДн, и
включают в себя:
 Угрозы непосредственного проникновения в операционную среду компьютера
с использованием штатного программного обеспечения,
 Угрозы создания нештатных режимов работы программно-аппаратных
средств,
 Угрозы внедрения вредоносных программ (с помощью отчуждаемых
носителей информации),
Во всех случаях источником угроз является нарушители, имеющие доступ к ИСПДн
(пользователи ИСПДн, системные администраторы, администраторы базы данных,
организации, осуществляющие ремонт и профилактику АРМ), реализующие угрозы
непосредственно в ИСПДн.
7
Таблица 2
Определение актуальности угроз в ИСПДн
Угрозы утечки
информации по
техническим
каналам и за счет
НСД
Степень
исходной
защищенно
сти Y1
1
Утечка информации
по каналу ПЭМИН
2
Вероятность реализации угрозы (Y2)
Малая
вероятность
(0)
3
Низкая
вероятность
(2)
4
5
2
Утечка речевой
информации
5
2
Утечка видовой
информации
5
2
Перехват паролей
(идентификаторов)
5
Модификация
BIOS, перехват
управления
загрузкой
Несанкционированн
ое копирование,
уничтожение ПДн
Модификация
СУБД, ПДн
Внедрение
вредоносных
программ
2
Средняя
вероятность
(5)
5
Высокая
вероятность
(10)
6
Коэффициент
реализуемости
угрозы
Y=(Y1+Y2)/20
Возможная
вероятность
угрозы
7
0,35
2
0,35
низкая
0,35
средняя
0,35
2
5
2
5
2
Средняя
опасность
Высокая
опасность
8
9
да
10
11
неактуальная
да
неактуальная
да
неактуальная
да
неактуальная
Низкая
да
неактуальная
Низкая
0,35
5
Низкая
опасность
Вывод об
актуальности
угрозы
низкая
0,35
5
Показатель опасности угрозы
да
неактуальная
да
неактуальная
да
неактуальная
Низкая
0,35
Низкая
0,35
Низкая
8
9
Заключение
Комиссией в результате примененных методик по обеспечению безопасности
информации в ИСПДн, принято присвоить ИСПДн АИС САО класс ИСПДн
– К2.
Перечень актуальных угроз в ИСПДн:
 утечка информации по каналам ПЭМИН,
 утечка видовой информации,
 перехват паролей,
 несанкционированное копирование, уничтожение ПДн,
 модификация СУБД, ПДн,
 внедрение вредоносных программ.
В соответствии с выполненными мероприятиями по обеспечению
безопасности в ИСПДн актуальных угроз нет.
Председатель
комиссии:
Члены комиссии:
Глава муниципального
образования
«Старомоньинское»
__________Алексеева
Н.Г.
__________Павлова Н.М.
Ведущий специалистэксперт
Инспектор по учету
Начальник
Должность отдела
информатизации
__________Алексеева
Т.Н.
___________Навалихин
Д.В.
10