Автоматизированная система (АС) – система, включающая персонал и комплекс средств автоматизации, предназначенная для обработки, хранения и передачи информации, связанной с производственно-управленческой деятельностью предприятия.
Автоматизированное рабочее место (АРМ) – совокупность технических и программных средств, предназначенная для автоматизации профессиональной деятельности сотрудника предприятия, включая производство, учет, планирование и обслуживание оборудования.
Безопасность информации – состояние защищенности информации, обеспечивающее ее доступность, целостность и, при необходимости, конфиденциальность в рамках процессов обработки на предприятии.
Вредоносная программа – программный код, способный нарушать нормальное функционирование АС, включая программы-шпионы, трояны, программы для удаленного управления, направленные на нарушение процессов производства или управления.
Информационная система (ИС) – совокупность программно-аппаратных средств, а также обрабатываемой с их помощью информации, обеспечивающая автоматизацию деятельности предприятия, включая складской учет, документацию и производственные задачи.
Информационные ресурсы предприятия – данные и документы, связанные с производством, снабжением, логистикой, техническими характеристиками продукции, чертежами, нормативной документацией и иными внутренними данными, подлежащими защите.
Контролируемая зона – помещения или участки территории предприятия, на которых осуществляется обработка или хранение информационных ресурсов, и доступ к которым ограничен в целях обеспечения безопасности.
Несанкционированный доступ – действия, направленные на получение доступа к ИС, компонентам производственного оборудования или данным предприятия без соответствующих прав.
Обеспечивающие инженерные системы – системы электроснабжения, вентиляции, охраны, видеонаблюдения и иные технические средства, обеспечивающие функционирование АС и информационных систем предприятия.
Программное обеспечение (ПО) – совокупность программ, обеспечивающих выполнение производственных, логистических, финансовых и учетных задач, включая как коммерческие, так и разработанные по индивидуальному заказу.
Производственные данные – техническая и организационная информация, включающая чертежи, схемы, параметры производимого оборудования, спецификации, внутренние регламенты и нормативы.
Средства вычислительной техники (СВТ) – компьютеры, сервера, маршрутизаторы и иные устройства, используемые на предприятии для обработки производственной и управленческой информации.
Технический канал утечки информации – путь, по которому информация, не предназначенная для распространения, может покинуть периметр контроля предприятия вследствие электромагнитных излучений, наводок или неисправности оборудования.
Угроза безопасности информации (УБИ) – потенциальная или реально существующая возможность нарушения защиты информации, выражающаяся в утрате доступности, целостности или контролируемости данных предприятия.
Уязвимость – недостаток или ошибка в конфигурации, программном обеспечении или инженерной инфраструктуре, которая может быть использована для реализации угрозы.
2. ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Введение
2.1.1. Настоящая модель угроз безопасности информации (далее – Модель угроз) содержит результаты анализа и оценки угроз безопасности информации, актуальных для автоматизированной системы предприятия «БытТех», осуществляющего разработку, сборку и реализацию бытовой техники.
2.1.2. Оценка угроз проводится в целях определения и документирования возможных угроз безопасности информации, реализация которых может повлечь за собой нарушение конфиденциальности, целостности и доступности информации, обрабатываемой в информационных системах предприятия «БытТех», а также нарушение устойчивой и безопасной работы критически важных бизнес-процессов предприятия.
2.1.3. Модель угроз учитывает архитектуру автоматизированной системы «БытТех», особенности её функционирования, взаимодействие с внешними сетями и инженерными системами. Особое внимание в рамках оценки уделено уязвимостям, которые не связаны с обработкой персональных данных, а касаются информации производственного, коммерческого и технологического характера.
2.1.4. Настоящая Модель угроз используется при разработке, модернизации и сопровождении системы защиты информации на предприятии, при принятии решений по минимизации рисков и обеспечению непрерывности производственной деятельности.
2.2. Источники разработки
2.2.1. Настоящая Модель угроз сформирована в соответствии с методическими документами ФСТЭК России и ФСБ России с учетом следующих принципов:
– в случае обеспечения безопасности информации без использования средств криптографической защиты информации (СКЗИ) при формировании Модели угроз используются методические документы ФСТЭК России;
– в случае, если предприятие «БытТех» определяет необходимость применения СКЗИ для защиты критически важной информации (в том числе коммерческой тайны и технологий производства), при формировании Модели угроз используются методические документы ФСТЭК России и ФСБ России.
2.3. Оцениваемые угрозы
2.3.1. Модель угроз содержит результаты оценки антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, а также техногенных источников угроз. При этом в настоящей Модели угроз не рассматриваются угрозы, связанные с техническими каналами утечки информации (далее – ТКУИ), по причинам, приведённым в таблице 1.
Таблица 1 – Обоснования исключения угроз, реализуемых за счет ТКУИ
№ п/п Угрозы, связанные с техническими каналами утечки информации Обоснование исключения
1 Угрозы утечки акустической (речевой) информации* Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящую специализированную аппаратуру, регистрирующую акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом. Характер и объём обрабатываемой в ИС «БытТех» информации недостаточен для мотивации нарушителей к реализации подобных угроз.
2 Угрозы утечки видовой информации* Характеризуются наличием высококвалифицированных нарушителей, использующих специализированные оптические (оптико-электронные) средства для съема информации с экранов дисплеев и иных средств отображения. Характер и объём обрабатываемой информации в ИС «БытТех» не представляют ценности, оправдывающей применение указанных методов.
3 Угрозы утечки информации по каналам ПЭМИН Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящие технические средства перехвата побочных электромагнитных излучений и наводок (ПЭМИН). Учитывая характер и объем обрабатываемой информации, применение подобных методов перехвата представляется маловероятным.
* За исключением угроз, характеризующихся использованием нарушителями портативных (мобильных) устройств съема информации (планшеты, сотовые телефоны, цифровые камеры, звукозаписывающие устройства и иные средства).
2.4. Ответственность за обеспечение защиты информации (безопасности)
2.4.1. Ответственными за обеспечение безопасности персональных данных (ПДн) при их обработке в информационной системе «БытТех» (далее — ИС «БытТех») приказом директора предприятия «БытТех» назначены должностные лица и подразделения, указанные в таблице 2.
Таблица 2 – Ответственные за обеспечение защиты информации (безопасности)
№ п/п Роль подразделения / должностного лица Должностное лицо / подразделение
1 Ответственный за обеспечение безопасности персональных данных Руководитель отдела информационных технологий
2 Ответственный за сопровождение ИС «БытТех» Специалист по информационным системам
3 Ответственный за администрирование и контроль доступа Системный администратор
4 Ответственный за выполнение организационно-распорядительных мер Служба кадров или специалист по защите информации
2.5. Особенности пересмотра Модели угроз
2.5.1. Настоящая Модель угроз может быть пересмотрена:
– по решению предприятия «БытТех» на основе регулярно проводимого анализа и оценки актуальных угроз безопасности защищаемой информации с учетом изменений в архитектуре и (или) условиях функционирования ИС «БытТех»;
– в случае выявления новых уязвимостей или угроз безопасности
- Курсовая работа
- Дипломная работа
- Контрольная работа
- Реферат
- Отчет по практике
- Магистерская работа
- Статья
- Эссе
- Научно-исследовательская работа
- Доклад
- Глава диплома
- Ответы на билеты
- Презентация
- Монография
- Дипломная работа MBA
- ВКР
- Компьютерный набор текста
- Речь к диплому
- Тезисный план
- Чертёж
- Диаграммы, таблицы
- ВАК
- Перевод
- Научная статья
- Бизнес план
- Лабораторная работа
- Рецензия
- Решение задач
- Диссертация
- Доработка заказа клиента
- Аспирантский реферат
