Файловый архив студентов. Файловый архив студентов.
1263 вуза, 4625 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 3000407.doc
Скачиваний:
26
Добавлен:
30.04.2022
Размер:
3.4 Mб
Скачать
►Содержание►

1.2 Характеристика основных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

Характерной особенностью проблемы защиты информации является требование полноты множества угроз информационной безопасности. Каждая невыявленная или непринятая во внимание угроза может существенно снизить или, в худшем случае, даже свести эффективность защиты на нет. Но информация подвержена случайным влияниям огромного числа факторов, многие из которых должны быть отнесены к угрозам нарушения безопасности информации. Это означает, что проблема формирования полного множества угроз практически не формализуема.

В связи с этим для информационных систем персональных данных имеет смысл определять не полный перечень угроз, а перечень классов угроз. Таким образом, первым этапом в процессе анализа риска информационной безопасности является классификация возможных угроз нарушения безопасности ПДн, обрабатываемых в ИСПДн.

Угроза безопасности персональных данных [48]– это совокупность условий и факторов, создающих опасность реализации неправомерных действий с персональными данными при их обработке в информационной системе персональных данных.

Угроза безопасности персональных данных (УБПДн) реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (деструктивного воздействия на них или действия с ними).

Основными элементами канала реализации УБПДн, изображенного на рисунке 1.1, являются:

‑ источник УБПДн ‑ субъект, материальный объект или физическое явление, создающие УБПДн;

‑ среда (путь) распространения ПДн и воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

‑ носитель ПДн ‑ физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Рисунок 1.1 – Обобщенная схема канала реализации угроз безопасности персональных данных

Основные угрозы безопасности ПДн при их обработке в ИСПДн формулируются на основе детализации положений [97], в соответствии с которым ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Основные угрозы безопасности ПДн классифицируются в соответствии со следующими признаками:

- виды неправомерных действий, осуществляемых с ПДн;

- виды каналов, с использованием которых осуществляются неправомерные действия с ПДн.

По виду неправомерных действий, осуществляемых с ПДн, выделяются три класса угроз их безопасности:

1 - угрозы, заключающиеся в несанкционированном хищении либо копировании информации, а также в неправомерном ее распространении, при реализации которых не осуществляется непосредственного воздействия на содержание информации;

2 - угрозы, заключающиеся в несанкционированном воздействии на содержание информации, в результате реализации которых осуществляется модификация содержания ПДн вплоть до их полного уничтожения или замены;

3 - угрозы, заключающиеся в несанкционированном воздействии на программные и аппаратные средства ИСПДн, в результате реализации которых осуществляется блокирование ПДн.

По виду каналов, с использованием которых осуществляются неправомерные действия с ПДн, выделятся следующие классы угроз их безопасности:

1 – угрозы, реализуемые через каналы, возникающие за счет использования технических средств добывания (съема) информации (технические каналы утечки информации) для несанкционированного получения ПДн, хранящихся в ИСПДн, отображаемых либо передаваемых по каналам связи в процессе повседневного функционирования операторов и пользователей ИСПДн;

2 - угрозы, реализуемые через каналы, возникающие за счет несанкционированного доступа к автоматизированным системам для получения ПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения;

3 - угрозы, реализуемые через каналы, возникающие за счет несанкционированного доступа к автоматизированным системам для модификации ПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения;

4 - угрозы, реализуемые через каналы, возникающие за счет использования технических средств создания помех нормальному функционированию ИСПДн для воспрепятствования передачи информации по каналам связи либо для реализации электромагнитного воздействия на аппаратные средства обработки информации, используемые в ИСПДн;

5 - угрозы, реализуемые через каналы, возникающие за счет использования специальных программно-математических воздействий (в том числе вирусов) для воспрепятствования нормальному функционированию программного и аппаратного обеспечения ИСПДн.

Для неправомерных действий первого класса характерно использование угроз первого и второго классов, для неправомерных действий второго класса – угроз третьего и четвертого классов, для неправомерных действий третьего класса – угроз четвертого и пятого классов.

Конкретизировать УБПДн, обрабатываемых в ИСПДн также можно по следующим составляющим:

– по возможным источникам угроз;

– по виду нарушаемого свойства информации;

– по способам реализации угрозы;

– по возможному объекту воздействия (носителю ПДн);

– по используемой уязвимости.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности