1Общие положения
| Вид материала | Документы |
Содержание2Назначение и цели создания ПИБ 2.1Назначение систем 2.2Цели создания системы 3Характеристика объекта защиты (ИСПДн) |
- 1Общие положения, 557.9kb.
- 1. 1Общие сведения о процедуре запроса предложений, 1470.9kb.
- 1. 1Общие сведения о процедуре запроса предложений, 976.07kb.
- 1. 1Общие сведения о процедуре запроса предложений, 870.28kb.
- 1. 1Общие сведения о процедуре запроса предложений, 1690.28kb.
- 1. 1Общие сведения о процедуре запроса предложений, 3991.42kb.
- Задача №1, 163.04kb.
- Разработка положения о материальном стимулировании, 56.16kb.
- Одобрен Советом Федерации 5 декабря 2001 года Часть первая. Общие положения Раздел, 22176.68kb.
- Оглавление часть I. Порядок регулирования землепользования и застройки на основе градостроительного, 3011.11kb.
2Назначение и цели создания ПИБ
2.1Назначение систем
Основным назначением подсистемы защиты персональных данных Управления информатизации города Москвы является обеспечение защиты персональных данных, обрабатываемых в информационной системе «АИС «Документооборот» за счет применения специального комплекса средств и мер по защите информации.
2.2Цели создания системы
2.2.1 Целями создания СЗПДн являются:
- обеспечение защищенности ИСПДн в процессе обработки и хранения ПДн, а также обеспечение конфиденциальности ПДн при их обработке;
- соответствие требованиям обеспечения ИБ при обработке ПДн в ИСПДн, регламентируемых РД ФСТЭК России и ФСБ России.
2.2.2 Критериями оценки достижения поставленных целей по созданию СЗПДн являются:
- соответствие требованиям по обеспечению безопасности ПДн в ИСПДн соответствующего класса, определенным в приказе ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении положения о методах и способах защиты информации в информационных персональных данных»;
- выполнение функциональных требований настоящего ЧТЗ
2.2.3 Подтверждением соответствия достигнутых результатов заданным целям в рамках настоящего ЧТЗ в целом является аттестация ИСПДн на соответствие требованиям безопасности информации.
3Характеристика объекта защиты (ИСПДн)
3.1 Объектом защиты являются ПДн, обрабатываемые в локальной ИСПДн однопользовательской либо многопользовательской, подключенной к ССОП.
3.2 Обработка ПДн в ИСПДн осуществляется с использованием средств автоматизации.
3.3 Для ИСПДн должно быть определено наличие оснований для отнесения ИСПДн к специальному типу:
- наличие требований к сохранности ПДн от уничтожения, изменения, блокирования и других несанкционированных действий;
- обработка данных, касающихся состояния здоровья субъектов персональных данных;
- в ИСПДн предусмотрено принятие решений исключительно на основании автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права или законные интересы.
3.4 По структуре ИСПДн относится к локальным.
3.5 По режиму обработки ПДн в ИСПДн система является многопользовательской или однопользовательской.
3.6 Для ИСПДн должно быть определено наличие требований к разграничению прав доступа, при этом в многопользовательских ИСПДн могут применяются разные права доступа к ПДн для разных пользователей.
3.7 Считается, что все технические средства ИСПДн находятся на территории Российской Федерации.
3.8 Актуальные угрозы ИБ, которым подвергается ИСПДн, определяются и обосновываются в модели угроз, разрабатываемой Исполнителем на этапе проектирования СЗПДн. Модель угроз разрабатывается на основе Руководящего документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных».
3.9 При обработке ПДн в локальных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена возможна реализация следующих угроз:
- угрозы утечки информации по техническим каналам;
- угрозы НСД к ПДн, обрабатываемым в локальных ИСПДн.
- Угрозы утечки информации по техническим каналам включают в себя:
- угрозы утечки акустической (речевой) информации;
- угрозы утечки видовой информации;
- угрозы утечки информации по каналу ПЭМИН.
3.10 Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений оборудования, на котором производится обработка ПДн, линий связи, электропитания и заземления.
3.11 Угрозы НСД в локальной ИСПДн, подключенной к ССОП, возникают из-за возможных действий нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн, включают в себя:
- угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/ вывода (BIOS), перехват управления загрузкой;
- угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);
- угрозы внедрения вредоносных программ.
Угрозы из внешних сетей (ССОП) включают в себя:
- угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;
- угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.;
- угрозы выявления паролей;
- угрозы получения НСД путем подмены доверенного объекта;
- угрозы типа «Отказ в обслуживании»;
- угрозы удаленного запуска приложений;
- угрозы внедрения по сети вредоносных программ и т.п.