Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год




Скачать 398.74 Kb.
НазваниеЧастная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год
страница1/3
Дата28.12.2012
Размер398.74 Kb.
ТипДокументы
  1   2   3

Берем «рыбу» - готовим… МОДЕЛЬ УГРОЗ от Дяди Лёни

ПРИЛОЖЕНИЕ № 10

к Положению о мерах по организации защиты

ИСПДн ООО «Дядя Лёня»

КОММЕРЧЕСКАЯ ТАЙНА

Общество с ограниченной ответственностью «Дядя Лёня»

Москва, Ленинский проспект, д.180, корпус 6

Экз. № 1

УТВЕРЖДАЮ

Генеральный директор ООО «Дядя Лёня»

____________________ И.И.Иванов

«___» _____ 20___ года

ЧАСТНАЯ МОДЕЛЬ УГРОЗ

безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты»

ООО «Дядя Лёня»

город Москва 20__ год

Раздел I. ОПРЕДЕЛЕНИЯ

ОБЩЕСТВО, ТУРАГЕНТСТВО, компания, организация, предприятие

Общество с ограниченной ответственностью «Дядя Лёня» (ООО «Дядя Лёня») – оператор персональных данных - юридическое лицо, совместно с другими лицами организующее и осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, операции, совершаемые с персональными данными.

ПДн

ПДн - персональные данные, - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Допуск

Допуск — право (возможность) субъекта доступа на получение информации и её использование. Права допуска (допуск) предоставляются Обществом по определенным правилам с соблюдением определенных процедур. Предоставленные права допуска представляют собой текстовые документы, выполненные по установленным в организации формам и правилам.

ИСПДн

ИСПДн — информационная система персональных данных, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Комплекс ИСПДн

Комплекс ИСПДн — комплекс информационных систем персональных данных - совокупность ИСПДн Общества.

Матрица доступа

Матрица доступа — таблица (совокупность таблиц), отображающая правила разграничения доступа.

НСД

НСД — несанкционированный доступ (несанкционированные действия), доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка ПДн

Обработка ПДн — обработка персональных данных, действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение, передачу, копирование, обезличивание, блокирование, уничтожение.

Обработка ПДн с использованием средств автоматизации — это обработка ПДн в пределах ИСПДн с использованием информационных технологий и технических средств ИСПДн.

Обработка ПДн без использования средств автоматизации — это обработка ПДн, содержащихся в ИСПДн, либо извлеченных из неё, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии работником. При этом обработка ПДн не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что ПДн содержатся в ИСПДн, либо были извлечены из неё

ТС ИСПДн

ТС ИСПДн - технические средства, позволяющие осуществлять обработку персональных данных в ИСПДн.

ТС ИСПДн — это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

СЗПДн

СЗПДн — система защиты персональных данных, это комплекс технических и(или) программных средств, необходимых и достаточных для обеспечения безопасности защищаемых ПДн, хранящихся и обрабатываемых в Обществе автоматизированным способом.

Персональные данные, выведенные из ИСПДн на бумажные и/или физические носители информации средствами СЗПДн не защищаются.

ПРД

ПРД — правила разграничения доступа, совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

В ИСПДн, использующих средства автоматизации, ПРД реализуются техническими средствами информационной системы персональных данных. ТС ИСПДн обеспечивают автоматическую и(или) автоматизированную реализацию правил доступа субъектов доступа к объектам доступа, а также автоматический контроль за соблюдением этих правил с автоматической регистрацией в электронной форме событий, происходящих при этом событий.

ПРД устанавливаются при проектировании СЗПДн и представляют собой таблицу(ы), именуемую как «Матрица доступа».

Объект внедрения

Под объектом внедрения понимается совокупность:

– ТС ИСПДн;

– помещений, в ТС ИСПДн расположены;

– технологическое оборудование этих помещений (системы электропитания, кондиционирования, пожаротушения и пр.);

– сетевая инфраструктура, обеспечивающая функционирование технических средств.

Объект доступа

Объект доступа — единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа. Для СЗПДн такими объек­тами являются защищаемые ПДн, технические и программные средства ИСПДн и СЗПДн.

Субъект доступа

Субъект доступа — это лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Частная модель угроз

Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее также – Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Раздел II. ТЕРМИНЫ И СОКРАЩЕНИЯ

Антивирусная защита

АЗ

Автоматизированное рабочее место

АРМ

Автоматизированная система

АС

База данных

БД

Вредоносная программа

ВП

Вспомогательные системы и средства

ВСС

Демилитаризованная зона

ДМЗ

Информационная безопасность

ИБ

Информационная система

ИС

Информационная система персональных данных

ИСПДн

Контролируемая зона

КЗ

Корпоративная информационная система

КИС

Локальная вычислительная сеть

ЛВС

Межсетевой экран

МЭ

Операционная система

ОС

Персональные данные

ПДн

Программно-математическое воздействие

ПМВ

Программное обеспечение

ПО

Побочные электромагнитные излучения и наводки

ПЭМИН

Средства вычислительной техники

СВТ

Система контроля и управления доступом

СКУД

Сеть передачи данных

СПД

Система управления базами данных

СУБД

Федеральный закон

ФЗ

Федеральная служба безопасности

ФСБ России

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Центр обработки данных

ЦОД

Электронно-цифровая подпись

ЭЦП

Service Level Agreement (Соглашение об уровне предоставления услуг

SLA



Раздел III. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящий документ подготовлен в рамках реализации мероприятий, утвержденных Положением о мерах по организации защиты информационных систем персональных данных Общества с ограниченной ответственностью «Дядя Лёня», утвержденного приказом Генерального директора № __ «___» _____ 20__ года.

2. Частная модель угроз безопасности (далее по тексту – Модель угроз) персональных данных при их обработке в информационных системах персональных данных утверждается Генеральным директором и является внутренним локальным нормативным актом Общества.

    3. Модель угроз определяет перечень угроз для ИСПДн Общества и их актуальность. Модель угроз разрабатывается на основании Отчета о результатах проведения внутренней проверки, утвержденного Генеральным директором № __ «___» _____ 20__ года.

4. Данная Модель угроз учитывается при классификации ИСПДн и используется при разработке Плана мероприятий по обеспечению защиты персональных данных в ООО «Дядя Лёня».

5. Модель угроз может быть пересмотрена:

- по решению Комиссии по персональным данным Общества на основе периодически проводимых анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений данной информационной системы;

- в случае изменения в составе и территориальном расположении ТС ИСПДн;

- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.

6. Настоящая Модель угроз разработана в соответствии с требованием п.12. «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.

7. Определение актуальных угроз безопасности персональных данных при их обработке в информационных системах ПДн, является одним из необходимых мероприятий по обеспечению безопасности ПДн в информационных системах и проектирования системы защиты ПДн.

8. На основе Модели угроз безопасности персональных данных, обрабатываемых в ИСПДн, и в зависимости от класса ИСПДн осуществляется выбор и реализация методов и способов защиты информации в информационной системе, которые должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных, в составе создаваемой системы защиты персональных данных.

9. Частная модель угроз безопасности персональных данных, обрабатываемых в ИСПДн «Работники Клиенты» разработана с учетом требований следующих законодательных актов и нормативно-методических документов:

- Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных данных».

- Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства Российской Федерации от 17 ноября 2007 года № 781.

- Порядок проведения классификации информационных систем персональных данных, утвержденный совместным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 года № 55/86/20 (далее – «Порядок проведения классификации ИСПДн»).

- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная приказом ФСТЭК России 15.02.2008 года.

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена приказом ФСТЭК России 14.02.2008 года.

- Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России №58 от 5 февраля 2010 года.

Раздел IV. МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДн, ОБРАБАТЫВАЕМЫХ

В ИСПДн «РАБОТНИКИ и КЛИЕНТЫ»

Статья 1. ИСХОДНЫЕ ДАННЫЕ ОБ ИСПДн «РАБОТНИКИ и КЛИЕНТЫ»

ИСПДн предназначена для решения задач управления персоналом, реализации уставных целей Общества, исполнения Обществом налоговых, фискальных, кредитных и иных финансовых обязательств, как перед государством, так и перед Работниками, Клиентами и контрагентами Общества.

ИСПДн представляет собой комплексную автоматизированную систему ведения на основе программного обеспечения «1С: Предприятие» бухгалтерской и хозяйственной деятельности Общества, а также кадрового учета и расчета заработной платы Работникам Общества.

Основными целями функционирования ИСПДн и обработки ПДн в частности являются:

ведение кадрового учета Работников;

ведение бухгалтерского учета Общества;

осуществление банковских проводок и платежей;

передача налоговой, статистической и иной, установленной законодательством, отчетности;

ведение базы данных партнеров и Клиентов;

оформление и редактирование заявок Клиентов для заказа турпродукта и контроль их исполнения;

учет платежей и расчетов с партнерами и Клиентами за предоставленные услуги;

подготовка пакета документов, необходимого Клиенту для совершения путешествия, - ваучер, электронный авиабилет, страховой полис, анкета для оформления визы, туристская путевка и др.;

формирование итоговых отчетов и списков для партнеров (туроператоры, отели, авиакомпании, иностранные посольства, страховые компании и т.п.);

проведение статистического анализа;

контроль забронированных/предоставленных заказов;

операции подготовки документов для оформления визы для подачи в иностранные посольства и консульства;

операции печати, контроля готовности и выдачи выходных документов.

Все объекты Общества, на которых размещены компоненты ИСПДн, находятся на территории города Москва.

ИСПДн имеет подключение к сетям общего пользования и международного обмена.

Все компоненты ИСПДн находятся на одном объекте, внутри контролируемой зоны.

Обработка персональных данных в ИСПДн ведется в многопользовательском режиме, с ограничением прав доступа.

Все технические средства ИСПДн находятся в пределах Российской Федерации.

К персональным данным предъявляются требования конфиденциальности, доступности и целостности.

При входе в систему и выдаче запросов на доступ проводится аутентификация пользователей ИСПДн. Все пользователи разделены на группы по праву и уровню доступа: администратор ИСПДн, администратор безопасности, операторы АРМ с правом записи, операторы АРМ с правом чтения.

    Детальное описание ИСПДн, технологии обработки персональных данных в ИСПДн, а также используемых в ИСПДн мер и средств защиты, приведено в Отчете о результатах проведения внутренней проверки, утвержденного Генеральным директором «___» _____ 20__ года.

Статья 2. МОДЕЛЬ ВЕРОЯТНОГО НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ИСПДН

2.1. По признаку принадлежности к ИСПДн все нарушители делятся на две группы:

- внешние нарушители – физические лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;

- внутренние нарушители – физические лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.

2.2. Внешние нарушители.

В роли внешних нарушителей информационной безопасности могут выступать:

Категория нарушителя

Описание категории нарушителя

Лица, не имеющие санкционированного доступа к ИСПДн

- физические лица

- организации (в том числе конкурирующие)

- криминальные группировки

2.2.1. Предполагается, что внешний нарушитель не может воздействовать на защищаемую информацию по техническим каналам утечки, так как объем и значимость информации, хранимой и обрабатываемой в ИСПДн, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на добывание информации по техническим каналам утечки.

2.2.2. Предполагается, что внешний нарушитель может воздействовать на защищаемую информацию только во время ее передачи по каналам связи.

2.2.3. Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ (НСД) к каналам связи, выходящим за пределы служебных помещений;

осуществлять НСД через автоматизированные рабочие места, подключенные к сетям связи общего пользования;

осуществлять НСД к информации с использованием специальных программных воздействий, включая вредоносные программы и программы-закладки.

2.3. Внутренние нарушители.

Под внутренним нарушителем информационной безопасности рассматривается нарушитель, имеющий непосредственный доступ к каналам связи, техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны, на территории Российской федерации.

К внутренним нарушителям могут относиться:

Категория нарушителя

Описание категории нарушителя

Работники Общества, не имеющие санкционированного доступа к ИСПДн

Работники центрального офиса, филиалов и обособленных подразделений, не имеющие санкционированного доступа к ИСПДн.

Пользователи ИСПДн

Работники, имеющие санкционированный доступ к ИСПДн

Администраторы ППО ИСПДн

Работники информационно-технического подразделения

Администраторы локальной сети

Администраторы информационной безопасности

Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн

Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн на территории Общества.

Обслуживающий персонал Общества

Уборщицы, работники инженерно–технических служб и другие лица, выполняющие обслуживание помещений контролируемой зоны на территории Общества.

2.3.1. Возможности внутреннего нарушителя зависят от действующих в пределах контролируемой зоны защитных мер, основными из которых является реализация системы защиты персональных данных, меры по подбору, обучению и обеспечению лояльности кадров, а так же ограничивающий режим допуска физических лиц внутрь контролируемой зоны.

2.3.2. Система разграничения доступа к ИСПДн обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн в соответствии с принятой политикой информационной безопасности.

2.4. С учетом всех исключений, в рамках настоящей Модели угроз предполагается, что к вероятным нарушителям ИСПДн будут относиться следующие лица:

Категория нарушителя

Описание категории нарушителя

Работники Общества, не имеющие

санкционированного доступа к ИСПДн

Работники центрального офиса, филиалов и обособленных подразделений не имеющие санкционированного доступа к ИСПДн.

Пользователи ИСПДн

Работники, имеющие санкционированный доступ к ИСПДн.

Работники сторонних организаций,

обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн

Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств

ИСПДн на территории Общества.

Обслуживающий персонал

Уборщицы, работники инженерно–технических служб и другие лица, выполняющие обслуживание помещений контролируемой зоны на территории Общества.

Лица, не имеющие санкционированного доступа к ИСПДн

- физические лица;

- организации (в том числе конкурирующие);

- криминальные группировки.
  1   2   3

Похожие:

Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconОбразовательная программа "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных" разработана в соответствии с правовыми и нормативными документами,
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных,...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconПриказ №01-138/08 «15» декабря 2010 г. Положение о порядке обработки и обеспечении безопасности персональных данных в гоу средней общеобразовательной школе №438 Москва
«Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год icon"Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"
В соответствии со статьей 19 Федерального закона "О персональных данных" Правительство Российской Федерации постановляет
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconРешение №999 от 24 марта 2011 года
Федерального закона от 27 июля 2006 г. №152-фз «О персональных данных» и постановления Правительства Российской Федерации от 11 ноября...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconВ соответствии с пунктом 3 Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденного...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconМетодические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации 1Основные термины и их определения 4
Работы по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год icon«О порядке организации и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных администрации муниципального образования»
«Об утверждении перечня сведений конфиденциального характера», «Положения о методах и способах защиты информации в информационных...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год icon1. Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных в
Настоящее Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconПоложение об обработке персональных данных читателей муниципальных библиотек г. Иркутска
Целью настоящего Положения является соблюдение прав пользователей на неприкосновенность частной жизни, личную и семейную тайну при...
Частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «Работники и Клиенты» ООО «Дядя Лёня» город Москва 20 год iconПоложение разработано в соответствии с Конституцией Российской Федерации, Федеральным Законом РФ от 27. 07. 2006 n 152-фз «О персональных данных», Трудовым
ПДн) в Тольяттинском государственном университете (далее Университет) с целью обеспечения защиты прав субъектов персональных данных...
Разместите кнопку на своём сайте:
Библиотека


База данных защищена авторским правом ©lib.znate.ru 2014
обратиться к администрации
Библиотека
Главная страница