Вы находитесь на странице: 1из 32

Занятие 7

Процесс защиты ИСПДн

1 2 3
Определение мер по Определение актуальных
Определение уровня
защите согласно Приказу угроз и разработка
защищенности (УЗ)
ФСТЭК №21 модели угроз

5 4
6 Определение СЗИ,
Промежуточный вывод:
Разработка необходимой которые необходимы для
определены меры и
документации выполнения мер и
актуальные угрозы
нейтрализации угроз

8
7 Актуализация 9
Установка и настройка информации в реестре Плановые мероприятия
СЗИ Роскомнадзора по ИБ
(при необходимости)
Что будем защищать?

А вы определили
перечень ИСПДн?
Определение уровня защищенности

Уровень защищенности ИСПДн определяется согласно Постановлению Правительства РФ от 1 ноября


2012 г. N 1119 «Об утверждении требований к защите персональных данных при их обработке в
информационных системах персональных данных»
Определение мер по Приказу ФСТЭК № 21
Определение актуальных угроз. Где брать угрозы?

Банк данных угроз безопасности информации (БДУ ФСТЭК) (https://bdu.fstec.ru/)


Определение актуальных угроз. Алгоритм

Актуальные угрозы определяются согласно:


• «Методика определения актуальных угроз безопасности персональных
данных при их обработке, в информационных системах персональных данных»
(утверждена 14 февраля 2008 года заместителем директора ФСТЭК России).

Алгоритм определения актуальных угроз:


1. Определяется показатель исходной защищенности ИСПДн (Y1)
2. Из БДУ ФСТЭК определяются угрозы, у которых есть предпосылки (т.е. могут
быть реализованы в ИСПДн)
3. Для каждой угрозы определяется возможность реализации экспертным путём
(Y2)
4. Далее для каждой угрозы по формуле определяется коэффициент реализуемости
угрозы (Y)
5. Определяется опасность реализации угрозы экспертным путём.
6. Исходя из коэффициента реализуемости угрозы (Y) и опасности определяется
актуальность угрозы (по таблице)
Определение актуальных угроз. Пример

Пример:

Коммерческая организация по обслуживанию программного продукта (например,


1С). Располагается в одном офисе, 5 кабинетов. Филиалов нет.

Определено, что существует только одна ИСПДн: «Бухгалтерия и кадры».

В организации подключён только один поставщик интернета – Ростелеком.


Определение актуальных угроз. Пример

Показатель исходной защищенности ИСПДн


Определение актуальных угроз. Пример

Показатель исходной защищенности ИСПДн


Определение актуальных угроз. Пример
Определение актуальных угроз. Пример
Определение актуальных угроз. Пример
Определение актуальных угроз. Пример

Итого:
Определение актуальных угроз. Пример

Результат:
Средний уровень исходной защищенности
Определение актуальных угроз. Пример

При составлении перечня актуальных угроз безопасности ПДн каждой


степени исходной защищенности ставится в соответствие числовой
коэффициент, а именно:
• 0 – для высокой степени исходной защищенности;
• 5 – для средней степени исходной защищенности;
• 10 – для низкой степени исходной защищенности.

Y1 = 5
Определение актуальных угроз. Пример

1. Из БДУ ФСТЭК определяются угрозы, у которых есть предпосылки (т.е. могут быть
реализованы в ИСПДн)
2. Для каждой угрозы определяется возможность реализации экспертным путём (Y2)
3. Далее для каждой угрозы по формуле определяется коэффициент реализуемости угрозы
(Y)
4. Определяется опасность реализации угрозы экспертным путём.
5. Исходя из коэффициента реализуемости угрозы (Y) и опасности определяется
актуальность угрозы (по таблице)
Определение актуальных угроз. Пример
Определение актуальных угроз. Пример

1. Из БДУ ФСТЭК определяются угрозы, у которых есть предпосылки (т.е. могут быть
реализованы в ИСПДн)
2. Для каждой угрозы определяется возможность реализации экспертным путём (Y2)
3. Далее для каждой угрозы по формуле определяется коэффициент реализуемости угрозы
(Y)
4. Определяется опасность реализации угрозы экспертным путём.
5. Исходя из коэффициента реализуемости угрозы (Y) и опасности определяется
актуальность угрозы (по таблице)
Определение актуальных угроз. Пример

Y1 = 5 – он общий
Y2 для каждой угрозы свой

Y = (5 + 5) / 20 = 0,5, если Y2 =5
Определение актуальных угроз. Пример

1. Из БДУ ФСТЭК определяются угрозы, у которых есть предпосылки (т.е. могут быть
реализованы в ИСПДн)
2. Для каждой угрозы определяется возможность реализации экспертным путём (Y2)
3. Далее для каждой угрозы по формуле определяется коэффициент реализуемости
угрозы (Y)
4. Определяется опасность реализации угрозы экспертным путём.
5. Исходя из коэффициента реализуемости угрозы (Y) и опасности определяется
актуальность угрозы (по таблице)
Определение актуальных угроз. Пример
Определение актуальных угроз. Пример

1. Из БДУ ФСТЭК определяются угрозы, у которых есть предпосылки (т.е. могут быть
реализованы в ИСПДн)
2. Для каждой угрозы определяется возможность реализации экспертным путём (Y2)
3. Далее для каждой угрозы по формуле определяется коэффициент реализуемости
угрозы (Y)
4. Определяется опасность реализации угрозы экспертным путём.
5. Исходя из коэффициента реализуемости угрозы (Y) и опасности определяется
актуальность угрозы (по таблице)
Определение актуальных угроз. Пример
Промежуточный вывод

Определены меры по Приказу ФСТЭК №21 и актуальные угрозы


Определение СЗИ
Разработка необходимой документации

Типовой набор необходимой документации:


• Приказ об утверждении перечня информационных систем персональных данных
• Приказ о назначении ответственного за организацию обработки персональных данных и
администратора безопасности в информационных системах персональных данных
• Положение об обработке и защите персональных данных
• Политика в отношении обработки ПДн
• Приказ об утверждении перечня сотрудников, допущенных к обработке ПДн
• Приказ об выделении помещений для обработки персональных данных
• Приказ о создании комиссии по определению уровня защищенности персональных
данных при их обработке в информационных системах персональных данных
• Приказ о создании комиссии по уничтожению персональных данных
• Инструкция пользователя информационных систем персональных данных
• Инструкция по организации парольной защиты в информационных системах
персональных данных
• Инструкция по организации антивирусной защиты
• План мероприятий по обеспечению информационной безопасности
• Журнал учета машинных носителей в информационных системах персональных данных
• Журнал проведения инструктажа по информационной безопасности
• Акт определения уровня защищенности ПДн (к каждой ИСПДн)
• Модель угроз безопасности персональных данных (к каждой ИСПДн)
Разработка необходимой документации

Если используются СКЗИ, дополнительно разрабатываются следующие


документы:

• Перечень сотрудников, допущенных к работе с СКЗИ


• Инструкция по обеспечению безопасности эксплуатации СКЗИ
• Журнал поэкземплярного учета средств криптографической защиты информации,
эксплуатационной и технической документации к ним, ключевых документов в
информационных системах персональных данных
• Утвердить форму Акта об уничтожении криптографических ключей и ключевых
документов

Все вышеперечисленные документы могут быть утверждены одним приказом!


Процесс защиты ИСПДн

1 2 3
Определение мер по Определение актуальных
Определение уровня
защите согласно Приказу угроз и разработка
защищенности (УЗ)
ФСТЭК №21 модели угроз

5 4
6 Определение СЗИ,
Промежуточный вывод:
Разработка необходимой которые необходимы для
определены меры и
документации выполнения мер и
актуальные угрозы
нейтрализации угроз

8
7 Актуализация 9
Установка и настройка информации в реестре Плановые мероприятия
СЗИ Роскомнадзора по ИБ
(при необходимости)
Процесс защиты ИСПДн

1 2 3
Определение мер по Определение актуальных
Определение уровня
защите согласно Приказу угроз и разработка
защищенности (УЗ)
ФСТЭК №21 модели угроз

5 4
6 Определение СЗИ,
Промежуточный вывод:
Разработка необходимой которые необходимы для
определены меры и
документации выполнения мер и
актуальные угрозы
нейтрализации угроз

8
7 Актуализация 9
Установка и настройка информации в реестре Плановые мероприятия
СЗИ Роскомнадзора по ИБ
(при необходимости)
Домашнее задание

1. Изучить типы актуальных угроз в Постановлении Правительства


№ 1119 «Об утверждении требований к защите персональных
данных при их обработке в информационных системах
персональных данных»

2. Прочитать «Методика определения актуальных угроз


безопасности персональных данных при их обработке, в
информационных системах персональных данных» (утверждена
14 февраля 2008 года заместителем директора ФСТЭК России).

3. Разделиться на группы по 2 человека.


Работа на занятии

1. Выбрать 5 угроз из БДУ ФСТЭК

2. Привести у каждой угрозы:


• Идентификатор угрозы.
• Описание угрозы.
• Источники угрозы.
• Объект воздействия.
• Последствия реализации угрозы (нарушаемые свойства
информации)