сегментах діючої СЗІ ІАС ЦА МЗРФ та відповідають вимогам нормативних документів до СрЗПДн.
Глава 2
.1 Модель порушника
Відповідно до п. 2 Положення [6] безпеку персональних даних при їх обробці в інформаційних системах забезпечується за допомогою системи захисту персональних даних, що включає організаційні заходи та засоби захисту інформації (у тому числі шифрувальні (криптографічні) кошти, кошти запобігання несанкціонованого доступу, витоку інформації технічними каналами, програмно-технічних впливів на технічні засоби обробки персональних даних), а також використовуються в інформаційній системі інформаційні технології. Технічні та програмні засоби повинні задовольняти встановлюваним відповідно до законодавства Російської Федерації вимогам, що забезпечують захист інформації.
Характеристики ІСПДн ІАС ЦА МЗРФ, що захищаються ресурси ІСПДн ІАС ЦА МЗРФ, загрози витоку ПДН технічними каналами, загрози несанкціонованого доступу до інформації ІСПДн ІАС ЦА МЗРФ розглянуті в «Моделі загроз безпеці персональних даних при їх обробці в« Інформаційно-аналітичної системі Центрального апарату Міністерства охорони здоров'я і соціального розвитку Російської Федерації »[13].
Ґрунтуючись на отриманих даних з урахуванням методичних рекомендацій ФСБ Росії [3], Положення ПКЗ - 2005 [11] і Типових вимог [12] необхідно уточнити можливості порушників при забезпеченні за допомогою кріптосредств безпеки ПДО при їх обробці в ІСПДн ІАС ЦА МЗРФ.
Порушник може діяти на різних етапах життєвого циклу інформаційних ресурсів, засобів захисту інформації, кріптосредств (СКЗИ) і СФК, використовуваних у ІСПДн. Під цими етапами в цьому документі розуміються етапи розробки зазначених коштів, їх виробництва, зберігання, транспортування, введення в експлуатацію, експлуатації.
2.2 Етапи розробки, виробництва, зберігання, транспортування та введення в експлуатацію технічних і програмних СКЗИ і СФК
На етапах розробки, виробництва, зберігання, транспортування та введення в експлуатацію використовуваних в ІСПДн ІАС ЦА МЗРФ технічних і програмних СКЗИ і СФК, обробка персональних даних не проводиться. Тому об'єктами погроз і атак на цих етапах є тільки самі ці кошти і документація на них.
Забезпечення безпеки зазначених об'єктів досягається шляхом використання організаційно - технічних заходів захисту та проведенням обов'язкових перевірок під час введення в експлуатацію кріптосредств і СФК на відповідність еталонним зразкам і заданими алгоритмами функціонування.
Засоби криптографічного захисту (кріптосредства), використовувані для забезпечення безпеки персональних даних при їх обробці в інформаційних системах, повинні в установленому порядку одержати підтвердження відповідності вимогам ФСБ Росії
2.3 Етап експлуатації технічних і програмних СКЗИ і СФК
На даному етапі захист від загроз безпеці, які не є атаками, як правило, регламентується різного роду інструкціями та положеннями (розробленими з урахуванням особливостей експлуатації ІС і діючої нормативної бази), в яких описуються регламенти дій посадових осіб, допущених до роботи з ІСПДн. При цьому виникнення загроз в більшості випадків пов'язано з помилковими діями або порушеннями тих чи інших вимог зазначеними особами. Можливими об'єктами атак в ІСПДн є наступні об'єкти:
документація на кріптосредство і на апаратні і програмні компоненти кріптосредства і СФК;
захищаються персональні дані;
ключова, аутентифицирующей і парольний інформація кріптосредства і СФК;
криптографічно небезпечна інформація (КОИ);
засоби захисту інформації (програмні і апаратні компоненти засобів захисту інформації);
кріптосредство (програмні і апаратні компоненти кріптосредства);
апаратні і програмні компоненти СФК;
настроювальні і конфігураційні параметри кріптосредства і СФК;
дані, передані по каналах зв'язку;
приміщення, в яких знаходяться захищаються ресурси інформаційної системи.
При передачі ПДН по каналах зв'язку вони повинні бути захищені з використанням кріптосредств або для їх передачі повинні використовуватися захищені канали зв'язку. Повинен здійснюватися захист інформації, записуваної на відчужувані носії (магнітні, магніто-оптичні, оптичні, карти флеш-пам'яті і т.п.).
2.4 Опис порушників (суб'єктів атак)
Під порушником (суб'єктом атак) ІСПДн розуміється особ...
