Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИН".
7. Отраслевая модель угроз
Отраслевая модель угроз безопасности ПДн (Таблица) содержит
обобщенное описание угроз безопасности ПДн для каждой категории ПДн,
включающее:
- источник угрозы безопасности ПДн;
- угроза безопасности ПДн;
- уровень реализации угрозы безопасности ПДн;
- типы материальных объектов среды обработки ПДн (далее - типы
объектов среды).
Таблица
Отраслевая модель угроз безопасности ПДн
---------------------------------------------------------------------------
| N |Источник угрозы | Уровень | Типы объектов | Угроза |
|п/п|безопасности ПДн|реализации угрозы| среды | безопасности ПД |
| | |безопасности ПДн | | |
|---|----------------|-----------------|---------------|------------------|
| 1 | 2 | 3 | 4 | 5 |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 1,| | | |
| |ПДн категории 2 | | | |
|---|----------------|-----------------|---------------|------------------|
| 1 |Компьютерные |Сетевой уровень |Маршрутизаторы,| Нарушение |
| |злоумышленники, | |коммутаторы, | целостности |
|---|осуществляющие | |концентраторы |------------------|
| 2 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
| 3 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты | целостности |
|---| |сервисов |передачи данных|------------------|
| 4 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | доступности |
| | | |сервисы) | |
|---| |-----------------|---------------|------------------|
| 5 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
| 6 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
| 7 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
| 8 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
| 9 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|10 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|11 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|12 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|13 |Поставщики |Уровень |Файлы данных с | Нарушение |
| |программно- |операционных |ПДн |конфиденциальности|
|---|технических |систем | |------------------|
|14 |средств, | | | Нарушение |
| |расходных | | | целостности |
|---|материалов, |-----------------|---------------|------------------|
|15 |услуг и т.п. и |Уровень систем |Базы данных с | Нарушение |
| |подрядчики, |управления базами|ПДн |конфиденциальности|
|---|осуществляющие |данных | |------------------|
|16 |монтаж, | | | Нарушение |
| |пусконаладочные | | | целостности |
|---|работы |-----------------|---------------|------------------|
|17 |оборудования и |Уровень |Прикладные | Нарушение |
| |его ремонт |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|18 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|19 |Сотрудники, |Физический |Линии связи, | Нарушение |
| |действующие в |уровень |аппаратные и |конфиденциальности|
|---|рамках | |технические |------------------|
|20 |предоставленных | |средства, | Нарушение |
| |полномочий | |серверы, | целостности |
| | | |физические | |
| | | |носители | |
| | | |информации | |
|---| |-----------------|---------------|------------------|
|21 | |Сетевой уровень |Маршрутизаторы,| Нарушение |
| | | |коммутаторы, |конфиденциальности|
|---| | |концентраторы |------------------|
|22 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|23 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|24 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты |конфиденциальности|
|---| |сервисов |передачи данных|------------------|
|25 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | целостности |
|---| | |сервисы) |------------------|
|26 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|27 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|28 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|29 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|30 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|31 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|32 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|33 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|34 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
|---| | |ванные рабочие |------------------|
|35 | | |места ИСПДн | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|36 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн |конфиденциальности|
|---|рамок |систем | |------------------|
|37 |предоставленных | | | Нарушение |
| |полномочий | | | целостности |
|---| |-----------------|---------------|------------------|
|38 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|39 | | | | Нарушение |
| | | | | целостности |
|---| |-----------------|---------------|------------------|
|40 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|41 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 3 | | | |
|---|----------------|-----------------|---------------|------------------|
|42 |Компьютерные |Сетевой уровень |Маршрутизаторы,| Нарушение |
| |злоумышленники, | |коммутаторы, | целостности |
|---|осуществляющие | |концентраторы |------------------|
|43 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
|44 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты | целостности |
|---| |сервисов |передачи данных|------------------|
|45 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | доступности |
| | | |сервисы) | |
|---| |-----------------|---------------|------------------|
|46 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|47 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|48 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|49 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|50 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|51 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|52 |Сотрудники, |Физический |Линии связи, | Нарушение |
| |действующие в |уровень |аппаратные и |конфиденциальности|
|---|рамках | |технические |------------------|
|53 |предоставленных | |средства, | Нарушение |
| |полномочий | |серверы, | целостности |
| | | |физические | |
| | | |носители | |
| | | |информации | |
|---| |-----------------|---------------|------------------|
|54 | |Сетевой уровень |Маршрутизаторы,| Нарушение |
| | | |коммутаторы, |конфиденциальности|
|---| | |концентраторы |------------------|
|55 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|56 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|57 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты |конфиденциальности|
|---| |сервисов |передачи данных|------------------|
|58 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | целостности |
|---| | |сервисы) |------------------|
|59 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|60 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|61 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|62 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|63 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|64 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|65 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|66 | |Уровень | | Нарушение |
| | |банковских | |конфиденциальности|
|---| |технологических | |------------------|
|67 | |приложений и | | Нарушение |
| | |сервисов | | целостности |
|---| | | |------------------|
|68 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|69 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн |конфиденциальности|
|---|рамок |систем | |------------------|
|70 |предоставленных | | | Нарушение |
| |полномочий | | | целостности |
|---| | | |------------------|
|71 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|72 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|73 | | | | Нарушение |
| | | | | целостности |
|---| |-----------------|---------------|------------------|
|74 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|75 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 4 | | | |
|---|----------------|-----------------|---------------|------------------|
|76 |Компьютерные |Уровень |Файлы данных с | Нарушение |
| |злоумышленники, |операционных |ПДн | целостности |
|---|осуществляющие |систем | |------------------|
|77 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
|78 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
|---| |данных | |------------------|
|79 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|80 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие в |операционных |ПДн | целостности |
|---|рамках |систем | |------------------|
|81 |предоставленных | | | Нарушение |
| |полномочий | | | доступности |
|---| |-----------------|---------------|------------------|
|82 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
|---| |данных | |------------------|
|83 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|84 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы | целостности |
|---| |технологических |доступа и |------------------|
|85 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | доступности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|86 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн | целостности |
| |рамок |систем | | |
|---|предоставленных |-----------------|---------------|------------------|
|87 |полномочий |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
| | |данных | | |
|---| |-----------------|---------------|------------------|
|88 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы | целостности |
| | |технологических |доступа и | |
| | |приложений и |обработки ПДн, | |
| | |сервисов |автоматизиро- | |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
---------------------------------------------------------------------------
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИН".