Приложение. Общая модель угроз безопасности персональных данных верхнего уровня. Постановление Администрации Чамзинского муниципального района Республики Мордовия от 03.05.2018 N 280 "Об утверждении общей модели угроз безопасности персональных данных верхнего уровня"

Приложение

Общая модель
угроз безопасности персональных данных верхнего уровня
(утв. постановлением администрации Чамзинского муниципального района Республики Мордовия от 3 мая 2018 г. N 280)

1. Определения

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации - возможность получения информации и ее использования.

Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система (ИС) - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации - субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Неавтоматизированная обработка персональных данных - обработка персональных данных без использования средств вычислительной техники;

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Объект информатизации - Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Оператор (персональных данных) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика "чистого стола" - комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных - умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость - слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Перечень обозначений и сокращений

АРМ - автоматизированное рабочее место

ИС - информационная система

КЗ - контролируемая зона

НСД - несанкционированный доступ

ПДн - персональные данные

ПО - программное обеспечение

ПЭМИН - побочные электромагнитные излучения и наводки

СЗИ - средства защиты информации

СЗПДн - система (подсистема) защиты персональных данных

СКЗИ - средства криптографической защиты информации

ФСТЭК - Федеральная служба по техническому и экспортному контролю

2. Общие положения

Настоящая общая модель угроз верхнего уровня (модель угроз безопасности персональных данных, далее - Модель) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в ИС администрации Чамзинского муниципального района (далее - Учреждение).

Формирование модели угроз верхнего уровня осуществляется на этапе сбора и анализа исходных данных по информационной системе.

При формировании модели угроз учитывались как угрозы, осуществление которых нарушает безопасность персональных данных (далее - прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее - косвенные угрозы).

Персональные данные Учреждения обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

Модель является методическим документом и предназначена для операторов ПДн, разработчиков ИС и их подсистем при разработке частных (детализированных) моделей угроз безопасности ПДн в отдельных ИС Учреждения с учетом их назначения, особенностей и условий функционирования.

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании Модели угроз используются методические документы ФСТЭК России и Методические рекомендации ФСБ России.

Данная Модель предназначена для определения характеристик безопасности защищаемых персональных данных, а также определения исходных данных для детализированной модели угроз.

Угрозы безопасности ПДн, обрабатываемых в ИС, приведенные в настоящей Модели, подлежат адаптации в ходе разработки частных (детализированных) моделей угроз.

3. Характеристика объекта информатизации

В Учреждении выделены следующие ИС:

1. ИС 1с 7.7, в которой ведется обработка специальной категории персональных данных субъектов ПДн, позволяющей идентифицировать субъект ПДн и получить о нем дополнительную информацию, в том числе персональных данных касающихся состояния, здоровья.

2. ИС СУФД, в которой ведется обработка иной категории персональных данных субъектов ПДн - сотрудников оператора, позволяющей идентифицировать субъект ПДн и получить о нем дополнительную информацию, за исключением персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность.

3. ИС Налогоплательщик ЮЛ, в которой ведется обработка иной категории персональных данных субъектов ПДн, позволяющей идентифицировать субъект ПДн и получить о нем дополнительную информацию, за исключением персональных данных касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни, сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность.

В рамках ИС 1с 7.7 обрабатывается перечень информации, имеющей характер персональных данных:

- фамилия, имя, отчество застрахованного лица;

- пол;

- дата рождения;

- место рождения;

- гражданство;

- данные документа, удостоверяющего личность;

- место жительства;

- место регистрации;

- дата регистрации;

- страховой номер индивидуального лицевого счета (СНИЛС);

- номер полиса обязательного медицинского страхования застрахованного лица;

- данные о страховой медицинской организации, выбранной застрахованным лицом;

- дата регистрации в качестве застрахованного лица;

- статус застрахованного лица (работающий, неработающий);

- сведения о медицинской организации, выбранной застрахованным лицом в соответствии с законодательством Российской Федерации для получения первичной медико-санитарной помощи;

- виды оказанной медицинской помощи;

- условия оказания медицинской помощи;

- сроки оказания медицинской помощи;

- объемы оказанной медицинской помощи;

- стоимость оказанной медицинской помощи;

- диагноз;

- профиль оказания медицинской помощи;

- медицинские услуги, оказанные застрахованному лицу и примененные лекарственные препараты;

- примененные медико-экономические стандарты;

- специальность медицинского работника, оказавшего медицинскую помощь;

- результат обращения за медицинской помощью;

- результаты проведенного контроля объемов, сроков, качества и условий предоставления медицинской помощи.

В ИС "Защищенный контур" может обрабатываться дополнительный перечень информации, имеющей характер персональных данных, в соответствии с утвержденными нормативными правовыми актами Российской Федерации.

В рамках ИС СУФД, Налогоплательщик ЮЛ ведется обработка ПДн субъектов ПД, в том числе, являющихся сотрудниками Учреждения.

Обрабатывается перечень информации, имеющей характер персональных данных:

- фамилия, имя, отчество;

- пол;

- дата рождения;

- место рождения;

- контактный телефон;

- данные документа, удостоверяющего личность;

- фотография;

- место регистрации;

- состояние в браке;

- фамилия, имя, отчество супруга (-и), детей;

- количество детей;

- дата рождения детей;

- сведения о трудовой книжке работника;

- информация об образовании (наименование образовательного учреждения, номер и серия диплома, квалификация по диплому);

- информация о трудовом стаже;

- данные о трудовом договоре;

- ИНН;

- СНИЛС;

- данные об аттестации работников;

- данные о повышении квалификации;

- данные о сертификации;

- информация о приеме на работу, перемещении по должности, увольнении;

- информация об отпусках;

- информация о командировках;

- информация о больничных листах.

- профессия;

- категория запаса;

- воинское звание и личный код;

- полное обозначение военно-учетной специальности;

- категория годности к военной службе;

- военный комиссариат по месту жительства;

- номер команды, партии воинского учета.

В ИС СУФД, Налогоплательщик ЮЛ может обрабатываться дополнительный перечень информации, имеющей характер персональных данных, в соответствии с утвержденными нормативными правовыми актами Российской Федерации.

Защите подлежит информация, циркулирующая в ИС, а также сопутствующая процессам создания и использования персональных данных:

- ключевая, аутентифицирующая и парольная информация средств защиты информации;

- криптографически опасная информация (КОИ);

- конфигурационная информация;

- управляющая информация;

- информация в электронных журналах регистрации;

- резервные копии файлов с защищаемой информацией, которые могут создаваться в процессе обработки этих файлов;

- остаточная информация на носителях информации.

Исходя из основных характеристик ИС и решаемых ими задач, в качестве объектов информатизации Учреждения выступают:

- локальные АРМ;

- локальные вычислительные сети.

В зависимости от характеристик и особенностей конкретных объектов информатизации часть вычислительных средств Учреждения подключена к сетям связи общего пользования и (или) сетям международного информационного обмена.

Ввод персональных данных осуществляется как с бумажных носителей (например, документов, удостоверяющих личность субъекта ПДн), так и с электронных носителей информации.

ИС предполагают, как распределенную (на автоматизированных рабочих местах), так и централизованную (на выделенных файловых серверах сети) обработку ПДн.

Персональные данные субъектов ПДн могут выводиться из ИС с целью передачи другим учреждениям, внешним организациям, контрольно-надзорным органам как в электронном, так и бумажном виде.

Контролируемой зоной ИС является здание и отдельные помещения Учреждения. В пределах контролируемой зоны находятся рабочие места пользователей и места хранения архивных копий данных, серверы системы, сетевое и телекоммуникационное оборудование ИС. Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.

4. Характеристики безопасности персональных данных, обрабатываемых в информационных системах персональных данных

В соответствии с Приказом ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных", основными характеристиками безопасности ПДн, обрабатываемых в ИС Учреждения, являются:

- конфиденциальность информации;

- целостность информации;

- доступность информации.

Под конфиденциальностью информации понимается исключение неправомерного доступа, копирования, предоставления или распространения информации.

Под целостностью информации понимается исключение неправомерного уничтожения или модифицирования информации.

Под доступностью информации понимается исключение неправомерного блокирования информации.

5. Способы нарушения конфиденциальности персональных данных

Исходя из перечня персональных данных, обрабатываемых в ИС, существуют следующие способы нарушения конфиденциальности ПДн:

- хищение персональных данных сотрудниками Учреждения для использования в корыстных целях;

- передача финансовой, адресной, юридической и прочей информации о субъекте ПДн третьим лицам;

- несанкционированное публичное разглашение персональных данных, ставших известными сотрудникам Учреждения;

- несанкционированное получение персональных данных третьими лицами;

- уничтожение финансовой, адресной, юридической и прочей информации о субъекте ПДн;

- Модификация финансовой, адресной, юридической и прочей информации о субъекте ПДн;

- блокирование финансовой, адресной, юридической и прочей информации о субъекте ПДн;

- ввод некорректной финансовой, адресной, юридической и прочей информации о субъекте ПДн;

- передача некорректной финансовой, адресной, юридической и прочей информации о субъекте ПДн;

- искажение архивной информации по субъекту ПДн.

6. Характеристика источников угроз безопасности ПДн в ИС

При определении угроз безопасности персональных данных различают:

- атаки;

- угрозы, не являющиеся атаками;

Рекомендуется использовать следующую структуру угроз, не являющихся атаками:

- угрозы, не связанные с деятельностью человека: стихийные бедствия и природные явления (землетрясения, наводнения, ураганы и т.д.);

- угрозы социально-политического характера: забастовки, саботаж, локальные конфликты и т.д.;

- ошибочные действия и (или) нарушения тех или иных требований лицами, санкционировано взаимодействующими с возможными объектами угроз. Если, например, в качестве объекта угроз выступает автоматизированная система в защищенном исполнении (АСЗИ), то к таким действиям и нарушениям, в частности, относятся:

- непредумышленное искажение или удаление программных компонентов АСЗИ;

- внедрение и использование неучтенных программ;

- игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации.

- нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации);

- предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;

- настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов;

- несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа.

- угрозы техногенного характера, основными из которых являются:

- аварии (отключение электропитания, системы заземления, разрушение инженерных сооружений и т.д.);

- неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления и т.д.;

- помехи и наводки, приводящие к сбоям в работе аппаратных средств.

Следует отметить, что, как правило, защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными оператором с учетом особенностей эксплуатации информационных систем и действующей нормативной базы.

Атакой является целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой информации или с целью создания условий для этого. Нарушитель совершает атаки посредством реализации угроз информационной безопасности.

7. Угрозы безопасности информации в ИС

Угрозы утечки информации по техническим каналам

Угрозы утечки акустической (речевой) информации

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИС, при обработке ПДн, возможно при наличием функций голосового ввода ПДн в ИС или функций воспроизведения ПДн акустическими средствами ИС.

В ИС Учреждения функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами отсутствуют.

Угрозы утечки видовой информации

Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИС.

В Учреждении введен контроль доступа в контролируемую зону. АРМ пользователей расположены так, что практически исключен визуальный доступ к мониторам, а на окнах установлены жалюзи.

Угрозы утечки информации по каналам ПЭМИН

Угрозы утечки информации по каналам ПЭМИН возможны из-за наличия побочных электромагнитных излучений технических средств из состава ИС.

Элементы ИС находятся в здании и экранируются несколькими несущими стенами, опасные сигналы маскируется множеством других ПЭМИН элементов, не входящих в ИС.

Предполагается также, что нарушитель не может воздействовать на защищаемую информацию по каналам ПЭМИН, так как:

- объем информации, хранимой и обрабатываемой в ИС, является недостаточным для возможной мотивации внешнего нарушителя к осуществлению действий, направленных на утечку информации по каналам ПЭМИН;

- существуют сравнительно более легкореализуемые каналы утечки информации, в частности НСД к информации.

Угрозы несанкционированного доступа к информации

Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности:

- нарушению конфиденциальности (копирование, неправомерное распространение);

- нарушению целостности (уничтожение, изменение);

- нарушению доступности (блокирование).

Угрозы уничтожения, хищения аппаратных средств ИС носителей информации путем физического доступа к элементам ИС

Кража ПЭВМ

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИС.

Кража носителей информации

Угроза осуществляется путем НСД внешними и внутренними нарушителями к носителям информации.

Кража ключей и атрибутов доступа

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где происходит работа пользователей.

Модификация и уничтожение информации

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИС и средства защиты, а так же происходит работа пользователей.

Вывод из строя узлов ПЭВМ, каналов связи

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены элементы ИС и проходят каналы связи.

Несанкционированное отключение средств защиты

Угроза осуществляется путем НСД внешними и внутренними нарушителями в помещения, где расположены средства защиты ИС.

Угрозы хищения, несанкционированной модификации или блокирования информации за счет НСД с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

Действия вредоносных программ (вирусов)

Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой (вирусом) называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

- скрывать признаки своего присутствия в программной среде компьютера;

- обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;

- разрушать (искажать произвольным образом) код программ в оперативной памяти;

- выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);

- сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

- искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Недекларированные возможности системного ПО и ПО для обработки персональных данных

Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Установка ПО, не связанного с исполнением служебных обязанностей

Угроза осуществляется путем несанкционированной установки ПО внутренними нарушителями, что может привести к нарушению конфиденциальности, целостности и доступности всей ИС или ее элементов.

Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИС и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера

Утрата ключей и атрибутов доступа

Угроза осуществляется за счет действия человеческого фактора пользователей ИС, которые нарушают положения парольной политики в части их создания (создают легкие или пустые пароли, не меняют пароли по истечении срока их жизни или компрометации и т.п.) и хранения (записывают пароли на бумажные носители, передают ключи доступа третьим лицам и т.п.) или не осведомлены о них.

Непреднамеренная модификация (уничтожение) информации сотрудниками

Угроза осуществляется за счет действия человеческого фактора пользователей ИС, которые нарушают положения принятых правил работы с ИС или не осведомлены о них.

Непреднамеренное отключение средств защиты

Угроза осуществляется за счет действия человеческого фактора пользователей ИС, которые нарушают положения принятых правил работы с ИС и средствами защиты или не осведомлены о них.

Выход из строя аппаратно-программных средств

Угроза осуществляется вследствие несовершенства аппаратно-программных средств, из-за которых может происходить нарушение целостности и доступности защищаемой информации.

Сбой системы электроснабжения

Угроза осуществляется вследствие несовершенства системы электроснабжения, из-за чего может происходить нарушение целостности и доступности защищаемой информации.

Стихийное бедствие

Угроза осуществляется вследствие несоблюдения мер пожарной безопасности.

Угрозы преднамеренных действий внутренних нарушителей

Доступ к информации, модификация, уничтожение лиц, не допущенных к ее обработке

Угроза осуществляется путем НСД внешних нарушителей в помещения, где расположены элементы ИС и средства защиты, а так же происходит работа пользователей.

Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

Угроза осуществляется за счет действия человеческого фактора пользователей ИС, которые нарушают положения о неразглашении обрабатываемой информации или не осведомлены о них.

Угрозы несанкционированного доступа по каналам связи

В соответствии с "Типовой моделью угроз безопасности персональных данных, обрабатываемых в распределенных ИС, имеющих подключение к сетям общего пользования и (или) международного информационного обмена" (п. 6.6. Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 г.), для ИС можно рассматривать следующие угрозы, реализуемые с использованием протоколов межсетевого взаимодействия:

- угроза "Анализ сетевого трафика" с перехватом передаваемой из ИС и принимаемой из внешних сетей информации;

- угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИС, топологии сети, открытых портов и служб, открытых соединений и др.;

- угрозы выявления паролей по сети;

- угрозы навязывание ложного маршрута сети;

- угрозы подмены доверенного объекта в сети;

- угрозы внедрения ложного объекта как в ИС, так и во внешних сетях;

- угрозы типа "Отказ в обслуживании";

- угрозы удаленного запуска приложений;

- угрозы внедрения по сети вредоносных программ.

Угроза "Анализ сетевого трафика"

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель:

- изучает логику работы ИС - то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

- перехватывает поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающих шифрование), ее подмены, модификации и т.п.

Перехват в пределах контролируемой зоны внешними нарушителями

В Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок.

Перехват в пределах контролируемой зоны внутренними нарушителями.

В Учреждении введен контроль доступа в контролируемую зону, установлена охранная сигнализация, двери закрываются на замок.

Угроза "сканирование сети"

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИС и анализе ответов от них. Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

Угроза выявления паролей

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

Угрозы навязывание ложного маршрута сети

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИС. Реализации угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.

Угрозы подмены доверенного объекта

Такая угроза эффективно реализуется в системах, в которых применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.

В результате реализации угрозы нарушитель получает права доступа к техническому средству ИС.

Внедрение ложного объекта сети

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.

Угрозы типа "Отказ в обслуживании"

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

- скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИС на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

- явный отказ в обслуживании, вызванный исчерпанием ресурсов ИС при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи, либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);

- явный отказ в обслуживании, вызванный нарушением логической связности между техническим средствами ИС при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;

- явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИС, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИС, которое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка ИС из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Угрозы удаленного запуска приложений

Угроза заключается в стремлении запустить на хосте ИС различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

- распространение файлов, содержащих несанкционированный исполняемый код;

- удаленный запуск приложения путем переполнения буфера приложений-серверов;

- удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса".

При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back. Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

Угрозы внедрения по сети вредоносных программ

К вредоносным программам, внедряемым по сети, относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

- программы подбора и вскрытия паролей;

- программы, реализующие угрозы;

- программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИС;

- программы-генераторы компьютерных вирусов;

- программы, демонстрирующие уязвимости средств защиты информации и др.

8. Заключение

В данной общей модели угроз изложены основные определяющие понятия, влияющие на безопасность персональных данных при их обработке в Учреждении. Изложенные предположения и доводы должны быть учтены при разработке частных моделей угроз конкретных ИС, эксплуатируемых, либо создаваемых заново.

Модель угроз может быть пересмотрена:

- по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учетом особенностей и (или) изменений конкретной информационной системы;

- по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности персональных данных при их обработке в информационной системе.