Презентация на тему Особенности классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных

Презентация на тему Особенности классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных, предмет презентации: Разное. Этот материал содержит 44 слайдов. Красочные слайды и илюстрации помогут Вам заинтересовать свою аудиторию. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас - поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций ThePresentation.ru в закладки!

Слайды и текст этой презентации

Слайд 1
Текст слайда:

Заместитель начальника отдела
Управления ФСТЭК России
по Приволжскому федеральному округу

КОШЛАТЫЙ Денис Анатольевич

Особенности
классификации информационных систем персональных данных. Методика определения актуальных угроз безопасности персональных данных


Слайд 2

Слайд 3
Текст слайда:


Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года



(статья 25 п. 3 ФЗ «О персональных данных»)


Слайд 4
Текст слайда:

Нормативно-методический документ
«Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К)

утвержден приказом Гостехкомиссии России
от 30 августа 2002 года № 282



Слайд 5
Текст слайда:


Руководящий документ Гостехкомиссии России «Автоматизированные системы. Зашита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»
утверждён Председателем Гостехкомиссии России 30 марта 1992 г.


Слайд 6
Текст слайда:


КЛАССИФИКАЦИЯ АС

П Е Р В А Я Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют разные права доступа к информации.

В Т О Р А Я
Многопользовательские АС, с информацией разного уровня конфиденциальности. Пользователи имеют одинаковые права доступа к информации.


Т Р Е Т Ь Я
Однопользовательская
АС, с информацией одного уровня конфиденциальности.





9 КЛАССОВ ЗАЩИЩЕННОСТИ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА:

1 Б

1 А

2 Б

2 А

3 Б

3 А

1 В

1 Г

1 Д

3 ГРУППЫ АС:




Слайд 7
Текст слайда:

В зависимости от объекта, причинение ущерба которому, в конечном счете, вызывается неправомерными действиями с ПДн, рассматриваются два вида ущерба:
непосредственный и опосредованный

Состав и функциональное содержание методов и средств зависит от вида и степени ущерба, возникающего вследствие реализации угроз безопасности ПДн

Классификация ИСПДн осуществляется с учетом категорий и объема накапливаемых, обрабатываемых и распределяемых с их использованием ПДн
с целью установления методов и способов защиты, необходимых для обеспечения безопасности ПДн

Порядок проведения классификации информационных систем персональных данных


Слайд 8
Текст слайда:

Опосредованный ущерб, связан с причинением вреда обществу и(или) государству вследствие нарушения нормальной деятельности экономических, политических, военных, медицинских, правоохранительных, социальных, кредитно-финансовых и иных государственных органов, органов местного самоуправления, муниципальных органов, организаций различных форм собственности за счет неправомерных действий с ПДн

Непосредственный ущерб связан с причинением физического, материального, финансового или морального вреда непосредственно субъекту ПДн.
Он возникает за счет незаконного использования (в том числе распространения) ПДн или за счет несанкционированной модификации этих данных и может проявляться в виде:
незапланированных финансовых или материальных затратах субъекта;
потери субъектом свободы действий вследствие шантажа и угроз, осуществляемых с использованием ПДн;
нарушения конституционных прав субъекта вследствие вмешательства в его личную жизнь путем осуществления контактов с ним по различным поводам без его на то желания (например - рассылка персонифицированных рекламных предложений и т.п.).

Порядок проведения классификации информационных систем персональных данных


Слайд 9
Текст слайда:


Классификация ИСПДн проводится:
КЕМ? – операторами информационных систем;
КОГДА? – на этапе создания информационных
систем либо в ходе их эксплуатации
(для ранее введённых и (или)
модернизируемых);
ЦЕЛЬ – установление методов и способов
защиты информации, необходимых для
обеспечения безопасности персональных
данных

«Порядок проведения классификации информационных систем персональных данных»


Слайд 10
Текст слайда:

сбор и анализ исходных данных по информационной системе
присвоение информационной системе соответствующего класса
документальное оформление результатов

Проведение классификации информационных систем включает в себя следующие этапы:

Порядок проведения классификации информационных систем персональных данных


Слайд 11
Текст слайда:


категория обрабатываемых в информационной системе персональных данных – Хпд;
объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд;
заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;
структура информационной системы;
наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена;
режим обработки персональных данных;
режим разграничения прав доступа пользователей информационной системы;
местонахождение технических средств информационной системы.

Исходные данные для проведения классификации информационной системы


Слайд 12

Слайд 13
Текст слайда:

категория 1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.

Категории обрабатываемых в информационной системе персональных данных –
Хпд

Порядок проведения классификации информационных систем персональных данных


Слайд 14
Текст слайда:

- в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

В зависимости от объема Хнпд может принимать следующие значения:

«Порядок проведения классификации информационных систем персональных данных»


Слайд 15
Текст слайда:

Специальные информационные системы
- информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий)

Типовые информационные системы
- информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных

Порядок проведения классификации информационных систем персональных данных


Слайд 16
Текст слайда:

«Порядок проведения классификации информационных систем персональных данных»

типовые

Информационные системы

специальные





Слайд 17
Текст слайда:

КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ

Хнпд


Слайд 18
Текст слайда:

класс 1 (К1) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) -информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.

КЛАСС ТИПОВОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ


Слайд 19
Текст слайда:

«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
утверждена ФСТЭК России 15 февраля 2008г.

Классификация угроз безопасности персональных данных
по видам возможных источников угроз;
по структуре ИСПДн на которые направлена реализация угроз безопасности ПДн;
по виду несанкционированных действий, осуществляемых с ПДн;
по способам реализации угроз;
по виду каналов, с использованием которых реализуются те или иные угрозы.


Слайд 20
Текст слайда:

МЕТОДИКА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ

Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.
Для оценки возможности реализации угрозы применяются два показателя:
уровень (степень) исходной защищенности ИСПДн
частота (вероятность) реализации рассматриваемой угрозы


Слайд 21
Текст слайда:

Показатели исходной защищенности ИСПДн



Слайд 22
Текст слайда:

Показатели исходной защищенности ИСПДН


Слайд 23
Текст слайда:

Показатели исходной защищенности ИСПДН


Слайд 24
Текст слайда:

Показатели исходной защищенности ИСПДн





Слайд 25
Текст слайда:

Показатели исходной защищенности ИСПДН






Слайд 26
Текст слайда:

Показатели исходной защищенности ИСПДН



Слайд 27
Текст слайда:

Исходная степень защищенности определяется следующим образом

1. ИСПДн имеет высокий уровень исходной защищенности, еcли не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу).

2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняется условия по пунктам 1 и 2.


Слайд 28
Текст слайда:

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1

0 - для высокой степени исходной защищенности;
5 - для средней степени исходной защищенности;
10 - для низкой степени исходной защищенности.


Слайд 29
Текст слайда:

Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн


Слайд 30
Текст слайда:

Автономные
АРМ

Информационные системы

Распределенные информационные системы




Локальные информационные системы


- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО

- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО

- без подключения к ССОП или СМИО
- с подключением к ССОП или СМИО


Слайд 31
Текст слайда:

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.


Слайд 32
Текст слайда:

Вводятся четыре вербальных градации вероятности реализации угрозы:

маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся)

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты

низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации)

средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны


Слайд 33
Текст слайда:

При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2


0 - для маловероятной угрозы;
2 - для низкой вероятности угрозы;
5 - для средней вероятности угрозы;
10 - для высокой вероятности угрозы.


Слайд 34
Текст слайда:

Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн

Коэффициент реализуемости угрозы



Слайд 35
Текст слайда:

По значению коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы


0 < Y < 0,3 - возможность реализации угрозы низкая;
0,3 < Y < 0,6 - возможность реализации угрозы средняя;
0,6 < Y < 0,8 - возможность реализации угрозы высокая;
Y > 0,8 - возможность реализации угрозы
очень высокая.


Слайд 36
Текст слайда:

Возможность реализации угроз безопасности персональных данных, обрабатываемых в ИСПДн


Слайд 37
Текст слайда:

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения:

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;


Слайд 38
Текст слайда:

Правила отнесения угрозы безопасности ПДн к актуальной


Слайд 39
Текст слайда:


Положение
устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации

Постановление Правительства РФ от 17 ноября 2007 г. № 781

П О Л О Ж Е Н И Е об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных


Слайд 40
Текст слайда:

Структура частной модели угроз безопасности персональных данных

1. Общие положения. 2. Степень исходной защищённости ИСПДн. 3. Угрозы утечки информации по техническим каналам. 4. Угрозы несанкционированного доступа к информации в информационной системе персональных данных. 5. Заключение.



Слайд 41
Текст слайда:

Типовой пример оформления результатов в частной модели угроз



Слайд 42
Текст слайда:

КЛАСС ИНФОРМАЦИОННОЙ СИСТЕМЫ МОЖЕТ БЫТЬ ПЕРЕСМОТРЕН:

по решению оператора на основе проведенных им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы

по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.


Слайд 43
Текст слайда:

С использованием данных о классе ИСПДн и составленного перечня актуальных угроз,
на основе «Рекомендаций …» и «Основных мероприятий …»
формулируются конкретные организационно-технические требования по защите ИСПДн
от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.


Слайд 44
Текст слайда:

РЕКВИЗИТЫ УПРАВЛЕНИЯ ФСТЭК РОССИИ
ПО ПРИВОЛЖСКОМУ ФЕДЕРАЛЬНОМУ ОКРУГУ
Для закрытой переписки:
Управление ФСТЭК России по Приволжскому федеральному округу,
г. Нижний Новгород, проспект Гагарина, д. 60, к. 11.

Для открытой переписки:
Управление ФСТЭК России по Приволжскому федеральному округу,
603104, г. Нижний Новгород, проспект Гагарина, д. 60, корп. 11.
ФАКС: (831) 439-68-77, 439-68-79
ТЕЛЕФОН: (831) 439-68-76
E-mail: fstec@mts-nn.ru

ОФИЦИАЛЬНЫЙ САЙТ ФСТЭК РОССИИ

fstec.ru


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика