Каталог средств ЗИ
|
Частная модель угроз безопасности персональных данных в информационной системе персональных данных «Наименование ИСПДн» СОГЛАСОВАНО РАЗРАБОТАЛ _______________________ ____________________ (Представитель подразделения по защите информации) "___"_________ 2009 г. 2009 г. Оглавление 1. Сокращения................................................................................................................................ 4 2. Термины и определения............................................................................................................. 5 3. Общие положения...................................................................................................................... 8 4. Исходные данные об ИСПДн.................................................................................................... 9 4.1. Перечень персональных данных, обрабатываемых в ИСПДн.......................................... 9 4.2. Условия расположения основных составляющих АС, обрабатывающих персональные данные. 9 4.2.1. Расположение основных составляющих АС......................................................... 9 4.2.2. Границы контролируемых зон................................................................................. 9 4.3. Топология ИСПДн и конфигурация ее отдельных компонентов.................................... 9 4.3.1. Топология ИСПДн...................................................................................................... 9 4.4. Конфигурация отдельных компонентов ИСПДн.............................................................. 9 4.4.1. Центральный узел обработки данных................................................................... 9 4.4.2. Узел администрирования......................................................................................... 9 4.4.3. АРМ сотрудников....................................................................................................... 9 4.5. Связи между основными компонентами ИСПДн............................................................. 9 4.5.1. Физические связи........................................................................................................ 9 4.5.2. Технологические связи............................................................................................. 10 4.5.3. Функциональные связи............................................................................................ 10 4.6. Технические средства, участвующие в обработке персональных данных в ИСПДн... 10 4.7. Общесистемные и прикладные программные средства, участвующие в обработке персональных данных. 11 4.8. Режим и степень участия персонала в обработке персональных данных...................... 11 4.8.1. Персонал, участвующий в обработке данных..................................................... 11 4.8.2. Полномочия персонала, участвующего в обработке данных............................ 11 5. Классификация ИСПДн........................................................................................................... 13 6. Классификация угроз безопасности персональных данных в ИСПДн................................. 14 7. Угрозы утечки ПДн в ИСПДн АС по техническим каналам............................................... 16 7.1. Угрозы утечки акустической (речевой) информации.................................................... 16 7.2. Угрозы утечки видовой информации.............................................................................. 16 7.3. Угрозы утечки информации по каналам побочных электромагнитных излучения и наводок16 8. Угрозы несанкционированного доступа к информации ИСПДн АС................................... 18 8.1. Источники угроз несанкционированного доступа к ИСПДн АС.................................. 18 8.2. Характеристика уязвимостей ИСПДн............................................................................. 21 8.2.1. Уязвимости системного программного обеспечения......................................... 22 8.2.2. Уязвимости прикладного программного обеспечения....................................... 22 8.3. Характеристика угроз непосредственного доступа в операционную среду ИСПДн АС23 8.4. Характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия 23 8.4.1. Угроза "Анализ сетевого трафика"..................................................................... 24 8.4.2. Угроза "сканирование сети".................................................................................. 24 8.4.3. Угроза выявления паролей....................................................................................... 24 8.4.4. Угрозы навязывания ложного маршрута сети путем несанкционированного изменении маршрутно-адресных данных 25 8.4.5. Угрозы внедрения ложного объекта сети............................................................ 25 8.4.6. Угрозы типа "Отказ в обслуживании"............................................................... 25 8.4.7. Угрозы удаленного запуска приложений.............................................................. 26 8.4.8. Угрозы внедрения по сети вредоносных программ............................................. 27 8.4.9. Возможные последствия реализации угроз различных классов....................... 27 9. Частная Модель угроз безопасности персональных данных, обрабатываемых в ИСПДн.29 9.1. Определение уровня исходной защищенности ИСПДн................................................. 29 9.2. Определение вероятности реализации угроз в ИСПДн АС........................................... 31 9.3. Определение возможности реализации угрозы в ИСПДн АС....................................... 32 9.4. Оценка опасности угроз в ИСПДн АС............................................................................ 33 9.5. Перечень актуальных угроз безопасности ПДн в ИСПДн АС..................................... 33 АРМ – автоматизированное рабочее место; АС – автоматизированная система; АВС – антивирусные средства; ВП – выделенное помещение; ВТСС – вспомогательные технические средства и системы; ИСПДн – информационная система персональных данных; КЗ – контролируемая зона; МЭ – межсетевой экран; НДВ – не декларированные возможности; НСД – несанкционированный доступ; ОС – операционная система; ПДн – персональные данные; ПМВ – программно-математическое воздействие; ПО – программное обеспечение; ПЭВМ – персональная электронно-вычислительная машина; ПЭМИН – побочные электромагнитные излучения и наводки; САЗ – система анализа защищенности; СВТ – средства вычислительной техники; СЗИ – средства защиты информации; СЗПДн – система (подсистема) защиты персональных данных: СОВ – система обнаружения вторжений; СУБД – система управления базами данных; УБПДн – угрозы безопасности персональным данным. В настоящем документе используются следующие термины и их определения: Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных. Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи. Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных. Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных. Доступ к информации - возможность получения информации и ее использования. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования так средств. Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов. Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания. Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание е сторонних лиц, а также транспортных, технических и иных материальных средств. Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы. Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации). Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов. Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания. Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования. Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа. Программная закладка - код программы, преднамеренно внесенный программу с целью осуществить утечку, изменить, блокировать, уничтожать информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства. Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ. Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы. Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем. Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа. Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных. Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации. Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных. Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения). Настоящая Частная модель угроз безопасности персональных данных (далее – Модель угроз), в информационной системе персональных данных «Наименование ИСПДн» (далее ИСПДн), разработана на основании следующих документов: - Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; - «Положение об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» (утв. постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781); - Совместный приказ ФСТЭК/ФСБ/Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»; - «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 14 февраля 2008 г.); - «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.); Данная Модель угроз используются при классификации ИСПДн и разработке Требований по обеспечению безопасности персональных данных (далее ПДн), предъявляемые к ИСПДн. 2.1 Перечень персональных данных, обрабатываемых в ИСПДн. В соответствии с Паспортом ИСПДн (утв. __.__.____ г. КЕМ) в данной системе обрабатываются следующие персональные данные, подлежащие защите: - фамилия, имя, отчество; - серия и номер документа, удостоверяющего личность. 2.2 Условия расположения основных составляющих АС, обрабатывающих персональные данные. 2.2.1 Расположение основных составляющих АС. ИСПДн является распределенной и состоит из следующих структурных единиц: - центральное отделение (ЦО); - региональные отделения (РО); Обработка информационных потоков ИСПДн осуществляется в ЦО, расположенном по адресу: г. Москва, ХХХХ. 2.2.2 Границы контролируемых зон. Контролируемыми зонами являются здания отделений. 2.3 Топология ИСПДн и конфигурация ее отдельных компонентов. Основными составляющими ИСПДн являются: - центральный узел обработки данных; - узел администрирования; - автоматизированные рабочие места (АРМ) сотрудников. 2.4 Конфигурация отдельных компонентов ИСПДн. 2.4.1 Центральный узел обработки данных. Центральный узел обработки данных представляет собой сервер HP, с установленной операционной системой Unix. Всего в информационной системе АС используется один центральный узел обработки данных, который расположен в ЦО Москвы. Узел администрирования АС представляет собой АРМ Администратора безопасности, с установленной операционной системой Windows XP. Основным оборудованием, участвующим в обработке персональных данных, являются АРМ сотрудников. С помощью этого оборудования осуществляется ввод персональных данных в ИСПДн. АРМ сотрудников установлено в зданиях отделений. 2.5 Связи между основными компонентами ИСПДн. Структура информационного взаимодействия в ИСПДн реализована на основе собственной распределенной Сети передачи данных (далее – СПД), не имеющей подключения к сетям связи общего пользования и сетям международного информационного обмена, и имеет следующие физические связи: - Оборудование АС подключено к локальной сети регионального отделения, подключенного к выделенному каналу связи; - региональные отделения объединены в общую сеть передачи данных; - центральный узел обработки данных подключен к локальной сети Московского отделения; - узел администрирования подключен в локальную сеть ЦО. В процессе обработки персональных данных в ИСПДн используются следующие технологии: - персональные данные хранятся на центральном узле обработки данных в специально предназначенной для этого СУБД; - ПО, обеспечивающее передачу персональных данных от конечного периферийного оборудования до СУБД, работает по протоколу TCP/IP; Введенные на АРМ сотрудников данные пересылаются непосредственно на центральный узел обработки данных. Узел администрирования осуществляет централизованное управление и конфигурацию того участка защищенной сети, в котором он расположен: - дает доступ в защищенную сеть для АРМ сотрудников; - устанавливает политики безопасности, в соответствии с которыми АРМ сотрудников получают возможность работать с центральным узлом обработки данных; Структура ИСПДн и информационных потоков в ней приведена на схеме (см. Рисунок 1).
Рисунок 1. Схема ИСПДн и информационных потоков в ней. 2.6 Технические средства, участвующие в обработке персональных данных в ИСПДн. В обработке персональных данных участвуют следующие технические средства: - Сервер НP; - АРМ сотрудников; Кроме того, в обработке персональных данных участвует активное и пассивное сетевое оборудование производства Cisco: коммутаторы, межсетевые экраны, маршрутизаторы, модемы. 2.7 Общесистемные и прикладные программные средства, участвующие в обработке персональных данных. В обработке персональных данных участвует следующее общесистемное программное обеспечение: - ОС Unix; - ОС Windows 2000/XP. В обработке персональных данных участвует следующее прикладное программное обеспечение: - ПО «Автоматизированная система v.1»; - СУБД Oracle. 2.8 Режим и степень участия персонала в обработке персональных данных. Обработка персональных данных во всех компонентах ИСПДн осуществляется в многопользовательском режиме. 2.8.1 Персонал, участвующий в обработке данных. В процессе обработки персональных данных участвует следующий персонал: - Администратор узла обработки данных осуществляет настройку отдельной серверной части, обрабатывающей данные от нескольких отделений; - Администратор безопасности занимается обслуживанием и настройкой узла администрирования. Администраторы безопасности находятся в каждом из отделений; - Администратор сети занимается обслуживанием и настройкой сетевого оборудования. Администраторы сети находятся в каждом отделении. - Пользователь осуществляет ввод персональных данных в систему АС. 2.8.2 Полномочия персонала, участвующего в обработке данных. Персонал, участвующий в обработке персональных данных, наделен следующими полномочиями: - Администратор узла обработки данных осуществляет разграничение доступа конечного оборудования к базе, содержащей персональные данные. - Администратор безопасности осуществляет разграничение доступа в защищенную инфраструктуру ИСПДн. Администратор безопасности не имеет полномочий настраивать центральный узел обработки данных. - Администратор сети отвечает за настройку и бесперебойную работу сетевого оборудования. Администратор сети не имеет полномочий настраивать центральный узел обработки данных, сервер безопасности, а также устанавливать и разграничивать права доступа в защищенную инфраструктуру ИСПДн. - Пользователь не имеет полномочий вносить модификации в настройки какого-либо оборудования и прикладного ПО. Кассир уполномочен вводить персональные данные в базу данных ИСПДн. 3. Классификация угроз безопасности персональных данных в ИСПДн. Состав и содержание угроз безопасности персональных данных (далее - УБПДн) в ИСПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным (ПДн). ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов и их особенностей как объектов обеспечения безопасности. Основными элементами являются: - персональные данные, содержащиеся в базах данных ЦО; - информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн; - технические средства ИСПДн, осуществляющие обработку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн); - программные средства (операционные системы, СУБД); - средства защиты информации (СЗИ); - вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн, их технические средства (далее – служебные помещения) (различного рода технические средства и системы, средства вычислительной техники, средства и системы охранной и пожарной сигнализации, средства и системы кондиционирования, средства электронной оргтехники и т.п.) (далее – ВТСС). Возможности источников УБПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн. Угроза безопасности реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ). Основными элементами канала реализации УБПДн являются: - источник УБПДн - субъект, материальный объект или физическое явление, создающее УБПДн; - среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн; - носитель ПДн – физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Носители ПДн могут содержать информацию, представленную в следующих видах: - видовая информация, представленная в виде текста и изображений различных устройств отображения информации СВТ ИСПДн; - информация, обрабатываемая (циркулирующая) в ИСПДн в виде электрических, электромагнитных, оптических сигналов; - информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур. Угрозы безопасности классифицируются по следующим признакам: - по видам возможных источников УБПДн; - по структуре ИСПДн, на которую направлена реализация УБПДн; - по виду несанкционированных действий, осуществляемых с ПДн; - по способам реализации УБПДн; - по виду каналов, с использованием которых реализуется УБПДн. По видам возможных источников УБПДн выделяются следующие классы угроз: - угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИСПДн, включая пользователей ИСПДн, реализующими угрозы непосредственно в ИСПДн; - угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. По структуре ИСПДн, на которые направлена реализация УБПДн, можно выделить следующий класс угроз: - угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем. - По способам реализации УБПДн в ИСПДн АС можно выделить следующий класс угроз: - угрозы, реализуемые в ИСПДн, не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена. По виду несанкционированных действий, осуществляемых с ПДн в ИСПДн АС можно выделить следующие классы угроз: - угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации; - угроз, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение; - угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн. По виду каналов, с использованием которых реализуется УБПДн, в ИСПДн можно выделить следующий класс угроз: - угрозы, реализуемые за счет несанкционированного доступа к ПДн ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения. 4. Угрозы утечки ПДн в ИСПДн АС по техническим каналам При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации следующих каналов утечки информации: - угрозы утечки акустической (речевой) информации; - угрозы утечки видовой информации; - угрозы утечки информации по каналам ПЭМИН. 4.1 Угрозы утечки акустической (речевой) информации Источниками угроз утечки информации по техническим каналам являются физические лица, не имеющие доступа к ИСПДн. Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться – однородная (воздушная). Носителем ПДн является пользователь ИСПДн, осуществляющий голосовой ввод ПДн в ИСПДн или акустическая система ИСПДн воспроизводящая ПДн. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя при обработке ПДн, обусловлено наличием функций голосового ввода ПДн в информационную систему или функций воспроизведения ПДн акустическими средствами информационной системы. Вывод: В ИСПДн функции голосового ввода ПДн в ИСПДн или функции воспроизведения ПДн акустическими средствами отсутствуют, поэтому детальное рассмотрение данной угрозы представляется нецелесообразным. 4.2 Угрозы утечки видовой информации Источником угроз утечки видовой информации являются физические лица, не имеющие доступа к информационной системе. Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться – однородная (воздушная). Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов и образов. Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн. Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн. Вывод: Перехват ПДн в ИСПДн может вестись портативной носимой аппаратурой (портативные аналоговые и цифровые фото- и видеокамеры, цифровые видеокамеры, встроенные в сотовые телефоны) – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них. Перехват (просмотр) ПДн осуществляется посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо на расстоянии прямой видимости из-за пределов ИСПДн с использованием оптических (оптикоэлектронных) средств. 4.3 Угрозы утечки информации по каналам побочных электромагнитных излучения и наводок Источником угроз утечки информации за счет ПЭМИН являются физические лица, не имеющие доступа к ИСПДн. Среда распространения информативного сигнала – неоднородная за счет перехода из одной среды в другую. Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин. Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническим средствами ИСПДн. Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн. Вывод: В связи с тем, что обрабатываемые в ИСПДн АС ПДн относятся к категории Х (персональные данные, позволяющие идентифицировать субъекта персональных данных), рассмотрение угроз безопасности ПДн, связанных с перехватом ПЭМИН, избыточно, так как утечка ПДн по каналам ПЭМИН – маловероятна из-за несоответствия стоимости средств съема информации и полученной в результате регистрации ПЭМИН информации, а защита ПДн от данного вида угроз – экономически нецелесообразна. угроза утечки ПДн по техническим каналам: = <источник угрозы (приемник информативного сигнала)>, <среда (путь) распространения информационного сигнала>, <источник (носитель) ПДн>.
Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
|
Вопрос специалисту
На нашем сайте Вы можете бесплатно задать вопрос специалисту
Видео Документы для скачивания |
.png)
