Классификация угроз безопасности персональных данных
По виду защищаемой от УБПДн информации, содержащей ПДн
┌─────────┐ ┌─────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────┐
│Угрозы РИ│ │Угрозы ВИ│ │Угрозы информации, обрабатываемой в ТСОИ│ │Угрозы информации, обрабатываемой в АС│
└─────────┘ └─────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────┘
По видам возможных источников УБПДн
┌─────────────────────────┐ ┌──────────────────────┐ ┌────────────────────────┐
│ Создаваемые нарушителем │ │Создаваемые аппаратной│ │Создаваемые вредоносными│
│ (физическим лицом) │ │ закладкой │ │ программами │
└┬────────────────────────┘ └┬─────────────────────┘ └┬───────────────────────┘
│ ┌──────────────────────┐ │ ┌──────────────────────┐ │ ┌───────────────────────────────────────────────────────┐
├─┤Создаваемые внутренним│ ├─┤Создаваемые встроенной│ ├─┤программной закладкой, программой типа "Троянский конь"│
│ │нарушителем │ │ │закладкой │ │ └───────────────────────────────────────────────────────┘
│ └──────────────────────┘ │ └──────────────────────┘ │ ┌───────────────────────────────────────────────────────┐
│ ┌─────────────────────┐ │ ┌──────────────────────┐ ├─┤программным вирусом │
└──┤Создаваемые внешним │ └─┤Создаваемые автономной│ │ └───────────────────────────────────────────────────────┘
│нарушителем │ │закладкой │ │ ┌───────────────────────────────────────────────────────┐
└─────────────────────┘ └──────────────────────┘ ├─┤вредоносной программой, распространяющейся по сети │
│ │(сетевым червем) │
│ └───────────────────────────────────────────────────────┘
│ ┌───────────────────────────────────────────────────────┐
└─┤другими вредоносными программами, предназначенными для │
│осуществления НСД (подбора паролей, удаленного доступа │
│и др.) │
└───────────────────────────────────────────────────────┘
По виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн)
┌────────────────────────────────────────────────────┐ ┌───────────────────────────────────┐ ┌─────────────────────────┐
│Угрозы конфиденциальности (утечки, перехвата, съема,│ │ Угрозы целостности (утраты, │ │ Угрозы доступности │
│ копирования, хищения, разглашения) информации │ │уничтожения, модификации информации│ │(блокирования) информации│
└────────────────────────────────────────────────────┘ └───────────────────────────────────┘ └─────────────────────────┘
По типу ИСПДн, на которые направлена реализация УБПДн
┌──────────────────────────────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────────┐
│ Угрозы безопасности ПДн, │ │Угрозы безопасности ПДн, обрабатываемых │ │ Угрозы безопасности ПДн, обрабатываемых │
│обрабатываемых в ИСПДн на базе АРМ│ │в ИСПДн на базе локальной вычислительной│ │ в ИСПДн на базе распределенных │
│(с подключением и без подключения │ │ сети (с подключением и без подключения │ │ информационных систем(с подключением, │
│ к вычислительной сети) │ │к распределенной вычислительной сети │ │без подключения к сети общего пользования)│
└──────────────────────────────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────────┘
┌──────────────────────────────┐ ┌──────────────────┐ ┌────────────────────────┐
│Угрозы специальных воздействий│ │Угрозы НСД в ИСПДн│ │Угрозы утечки информации│
│ на ИСПДн │ │ │ │ по техническим каналам │
└┬─────────────────────────────┘ └┬─────────────────┘ └─────────────┬─┬────────┘
│ ┌──────────────────────────┐ │ ┌────────────────────┐ ┌─────────────────┐ │ │ ┌────────────────┐
├──┤механического воздействия │ │ │Угрозы, реализуемые │ │ по радиоканалу ├──┤ ├──┤Угрозы утечки РИ│
│ └──────────────────────────┘ ├─┤ с применением │ └─────────────────┘ │ │ └────────────────┘
│ ┌──────────────────────────┐ │ │программных средств│ ┌─────────────────┐ │ │ ┌────────────────┐
├──┤химического воздействия │ │ │операционной системы│ │по электрическому├──┤ ├──┤Угрозы утечки ВИ│
│ └──────────────────────────┘ │ └────────────────────┘ │ каналу │ │ │ └────────────────┘
│ ┌──────────────────────────┐ │ ┌────────────────────┐ └─────────────────┘ │ │ ┌────────────────┐
├──┤акустического воздействия │ ┌─────────────────┐│ │Угрозы, реализуемые │ ┌─────────────────┐ │ │ │ Угрозы утечки │
│ └──────────────────────────┘ │ электрическими │├─┤ с применением │ │ по оптическому ├──┤ │ │ информации │
│ ┌──────────────────────────┐ ┌─┤ импульсами ││ │ специально │ │ каналу │ │ └──┤по каналам ПЭМИН│
├──┤биологического воздействия│ │ └─────────────────┘│ │ разработанного ПО │ └─────────────────┘ │ └────────────────┘
│ └──────────────────────────┘ │ ┌─────────────────┐│ └────────────────────┘ ┌─────────────────┐ │
│ ┌──────────────────────────┐ ├─┤электромагнитными││ ┌────────────────────┐ │по акустическому │ │
├──┤радиационного воздействия │ │ │ излучениями ││ │Угрозы, реализуемые │ │ (вибрационному) ├──┤
│ └──────────────────────────┘ │ └─────────────────┘└─┤ с применением │ │ каналу │ │
│ ┌──────────────────────────┐ │ ┌─────────────────┐ │вредоносных программ│ └─────────────────┘ │
├──┤термического воздействия │ ┌┴─┤ магнитным полем │ └────────────────────┘ ┌─────────────────┐ │
│ └──────────────────────────┘ │ └─────────────────┘ │ по смешанным │ │
│ ┌──────────────────────────┐ │ │(параметрическим)├──┘
└──┤электромагнитного ├─┘ │ каналам │
│воздействия │ └─────────────────┘
└──────────────────────────┘
┌────────────────┐ ┌────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐
│С использованием│ │С использованием│ │С использованием│ │С использованием │ │С использованием│ │ С использованием │ │С использованием│
│ уязвимости │ │ уязвимости │ │ уязвимости, │ │ уязвимости │ │ уязвимости, │ │ уязвимостей, │ │уязвимостей СЗИ │
│ системного ПО │ │ прикладного ПО │ │ вызванной │ │протоколов сетевого│ │ вызванной │ │ обусловливающих │ │ │
│ │ │ │ │ наличием в АС │ │ взаимодействия │ │ недостатками │ │наличие технических│ │ │
│ │ │ │ │ аппаратной │ │и каналов передачи │ │ организации │ │ каналов утечки │ │ │
│ │ │ │ │ закладки │ │ данных │ │ ТЗИ от НСД │ │ информации │ │ │
└────────────────┘ └────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘
┌────────────────────────────┐ ┌────────────────────────┐ ┌───────────────────┐ ┌─────────────────────────────┐ ┌──────────────────────┐
│УБПДн, обрабатываемых на АРМ│ │ УБПДн, обрабатываемых │ │УБПДн, передаваемых│ │Угрозы прикладным программам,│ │Угрозы системному │
└┬───────────────────────────┘ │в выделенных технических│ │ по сетям связи │ │предназначенным для работы │ │ПО, обеспечивающему │
│ ┌────────────────────────┐ │ средствах обработки │ │ │ │ с ПДн │ │функционирование ИСПДн│
├──┤На отчуждаемых носителях│ ├────────────────────────┘ └────┬──────────────┘ └─────────────────────────────┘ └──────────────────────┘
│ │ информации │ │ ┌──────────────────────────┐ │ ┌────────────────────┐
│ └────────────────────────┘ ├──┤ На принтера, плоттерах, │ ├──┤ УБПДн при передаче │
│ ┌────────────────────────┐ │ │ графопостроителях и т.п. │ │ │ сигналов по линиям │
├──┤На встроенных носителях │ │ └──────────────────────────┘ │ │ связи │
│ │ долговременного │ │ ┌──────────────────────────┐ │ └────────────────────┘
│ │ хранения информации │ ├──┤На выносных терминалах, │ │ ┌────────────────────┐
│ └────────────────────────┘ │ │мониторах, видеопроекторах│ │ │УБПДн при обработке │
│ ┌────────────────────────┐ │ └──────────────────────────┘ └──┤ пакетов │
├──┤В средствах обработки и │ │ ┌──────────────────────────┐ │ в коммуникационных │
│ │ хранения оперативной │ └──┤В средствах звукоусиления,│ │ элементах │
│ │ информации │ │ звуковоспроизведения │ │ информационно- │
│ └────────────────────────┘ └──────────────────────────┘ │телекоммуникационных│
│ ┌────────────────────────┐ │ систем │
└──┤ В средствах (портах) │ └────────────────────┘
│ ввода (вывода) │
│ информации │
└────────────────────────┘
См. данный графический объект в формате PDF.
Рисунок 2. Классификация угроз безопасности
персональных данных, обрабатываемых в информационных
системах персональных данных
Реализация одной из УБПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:
значительным негативным последствиям для субъектов ПДн;
негативным последствиям для субъектов ПДн;
незначительным негативным последствиям для субъектов ПДн.
Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн.
Угрозы, связанные с несанкционированным доступом (НСД) (далее - угрозы НСД в ИСПДн), представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн или самих ПДн) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:
угроза НСД: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>, <несанкционированный доступ>.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей