Главная страница
Навигация по странице:

  • Программное обеспечение

  • Анализ угроз безопасности

  • 1. По территориальному размещению

  • 2. По наличию соединения с сетями общего пользования

  • 3. По встроенным (легальным) операциям с записями баз персональных данных

  • 4. По разграничению доступа к персональным данным

  • 5. По наличию соединений с другими базами ПДн иных ИСПДн

  • 6. По уровню (обезличивания) ПДн

  • 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

  • Угрозы утечки информации по техническим каналам

  • Угрозы НСД к персональным данным

  • Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн

  • Детский сад Золотая Рыбка 4 Рисунок 1 Структурная схема организации Об организации Муниципальное бюджетное дошкольное образовательное учреждение Детский сад 4


    Скачать 435.56 Kb.
    НазваниеДетский сад Золотая Рыбка 4 Рисунок 1 Структурная схема организации Об организации Муниципальное бюджетное дошкольное образовательное учреждение Детский сад 4
    Дата02.06.2019
    Размер435.56 Kb.
    Формат файлаdocx
    Имя файлаLaboratornaya_IBAIS_PIMENOV.docx
    ТипДокументы
    #80093
    страница1 из 4

    Подборка по базе: Буклет ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ДЕТСКИЙ , Отечественная история, Золотая орда и Россия 13в.docx.
      1   2   3   4

    Детский сад «Золотая Рыбка №4»

    Рисунок 1 – Структурная схема организации
    Об организации:

    Муниципальное бюджетное дошкольное образовательное учреждение   «Детский сад № 4» г. Светлый осуществляет свою педагогическую деятельность на  основании Устава МАДОУ, утвержденным приказом управления образования Светловского муниципального района Вологодской области от 21.02.2003г. № 810.

    Здание  типовое, кирпичное, двухэтажное.  С 1980 -  н.в. -  детский сад

    Объекты:

    • информация о привозе товара (количество, цена);

    • информация о хранении товара (количество, сроки хранения и т.д.);

    • базы данных (накладные по товарам, продажам и т.д.);

    • информация о сотрудничестве с другими компаниями;

    • схемы магазинов, складов;

    • товарооборот;

    • ПО и данные отделов;

    • физические, электронные, бумажные носители информации;

    • каналы передачи данных.


    Субъекты:

    1. Внутренние.

    • заведующий;

    • бухгалтер;

    • зам. зав;

    • воспитатели;

    • преподаватель музыки

    • преподаватель физической культуры

    • преподаватель плаванья

    • и т.д.

    1. Внешние.

    • родители;

    • поставщики;

    • нарушители;

    • органы местной и государственной власти;


    Программное обеспечение:

    OC: Windows 10, Windows Server.

    Текстовые редакторы: Microsoft Office.

    CУБД/БД: MS Access, MS Exel, 1C Предприятие, 1С Бухгалтерия.

    Архиваторы: WinRar, 7Zip.

    Web-браузеры: Microsoft Edge.

    Антивирусы и брандмауэры: Kaspersky.

    Почтовые клиенты: MS Outlook.

    Программы для записи на внешние носители: Nero.


    Компоненты:

    1. Сервер безопасности – серверная часть подсистемы, функционирует в среде Windows 2003 / 2008 / 2008 R2.

    • Центр сертификации. 

    • Заверка подписи пользователей (timestamp).

    • Предоставление локальным пользователям доступа к БД сертификатов.

    • Защита от несанкционированного  изменения данных в БД.

    • Разграничение доступа к функциям администрирования безопасности.

    • Протоколирование работы подсистемы безопасности.

    1. Администратор сервера безопасности – приложение, предназначенное для удаленного администрирования Сервера безопасности, функционирует в среде Windows 2003 / XP Pro / Vista / Windows 7.

    • Настройка параметров СБ.

    • Центр сертификации. 

    • Управление ключами.

    • Управление бюджетами администраторов безопасности.

    • Восстановление доступа к зашифрованным документам с применением мастер-ключа.

    • Просмотр событий в журнале безопасности.

    Клиентская часть подсистемы безопасности LanDocs поставляется в виде библиотек DLL. Программный интерфейс (API) позволяет использовать функции безопасности в клиентском программном обеспечении системы LanDocs. 
    Основные протоколы передачи данных: TCP/IP, POP3, HTTP.

    Анализ угроз безопасности

    В соответствии с положениями «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» потенциальную опасность нарушения безопасности персональных данных при их обработке в ИСПДн данного типа представляют следующие угрозы:

    1. Угрозы утечки информации по техническим каналам:

    1. угрозы утечки акустической информации;

    2. угрозы утечки видовой информации;

    3. угрозы утечки информации по каналу ПЭМИН;

    1. Угрозы НСД к персональным данным:

    1. Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа):

    • угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывод, перехват управления загрузкой;

    • угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);

    • угрозы внедрения вредоносных программ.

    1. Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа):

    • перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации;

    • сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей;

    • подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа;

    • навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;

    • внедрение ложного объекта сети;

    • сетевые атаки типа «Отказ в обслуживании»;

    • удаленный запуск приложения в ИСПДн;

    • внедрение по сети вредоносных программ;

    1. Угрозы физического доступа к элементам ИСПДн:

    • хищение элементов ИСПДн, содержащих ПДн;

    • хищение отчуждаемых носителей информации, содержащих ПДн;

    • вывод из строя элементов ИСПДн;

    • внедрение в ИСПДн аппаратных закладок.

    Так же следует рассмотреть угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн, а именно:

    • утрата паролей доступа к ИСПДн;

    • искажение или уничтожение информации в результате ошибок пользователя;

    • выход из строя аппаратно-программных средств ИСПДн;

    • сбой системы электроснабжения ИСПДн;

    • уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами.

    Таблица 1.Анализ исходной защищенности.

    Технические и эксплуатационные характеристики ИСПДн

    Уровень защищенности

    Высокий

    Средний

    Низкий

    1. По территориальному размещению:

    корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации;




    +




    2. По наличию соединения с сетями общего пользования:

    ИСПДн, имеющая многоточечный выход в сеть общего пользования;







    +

    3. По встроенным (легальным) операциям с записями баз персональных данных:

    модификация, передача.







    +

    4. По разграничению доступа к персональным данным:

    ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн;




    +




    5. По наличию соединений с другими базами ПДн иных ИСПДн:

    интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн);







    +

    6. По уровню (обезличивания) ПДн:

    ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн).







    +

    7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:

    ИСПДн, предоставляющая часть ПДн;




    +




    Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных».

    Таким образом, ИСПДн имеет низкий уровень исходной защищенности (У1=10), так как не выполняются определенные Методикой условия присвоения уровня исходной защищенности ИСПДн со значением высокий и средний.

    Таблица 2.Вероятность реализации угроз безопасности персональных данных.

    Угроза

    Вероятность
    Y2

    Угрозы утечки информации по техническим каналам

    Угрозы утечки видовой информации:

    Просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн

    10

    Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн

    5

    Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны

    2

    Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн

    2

    Угрозы утечки информации по каналам ПЭМИН:

    Утечка информации по сетям электропитания ИСПДн

    5

    Перехват техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами ИСПДн, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны

    2

    Утечка информации из ИСПДн за счет побочного излучения технический средств

    2

    Преднамеренное электромагнитное воздействие на элементы ИСПДн

    2

    Угрозы НСД к персональным данным

    Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа):

    Перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн

    10

    Вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн

    5

    Внедрение в ИСПДн вредоносных программ

    10

    Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа):

    Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации

    10

    Сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей

    формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей

    10

    Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа

    10

    Навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных

    10

    Внедрение ложного объекта сети

    10

    Сетевые атаки типа «Отказ в обслуживании»

    5

    Удаленный запуск приложения в ИСПДн

    10

    Внедрение по сети вредоносных программ

    5

    Угрозы физического доступа к элементам ИСПДн:

    Хищение элементов ИСПДн, содержащих ПДн

    5

    Хищение отчуждаемых носителей информации, содержащих ПДн

    5

    Вывод из строя элементов ИСПДн

    5

    Внедрение в ИСПДн аппаратных закладок

    10

    Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн

    Утрата паролей доступа к ИСПДн

    10

    Искажение или уничтожение информации в результате ошибок пользователя

    10

    Выход из строя аппаратно-программных средств ИСПДн

    10

    Сбой системы электроснабжения ИСПДн

    10

    Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами

    10
      1   2   3   4


    написать администратору сайта