Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Проект Приказа Министерства транспорта РФ "Об утверждении моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства транспорта Российской Федерации" (подготовлен Минтрансом России 15.04.2019)
Проект Приказа Министерства транспорта РФ "Об утверждении моделей угроз безопасности персональных данных при их обработке в информационных системах персональных данных Министерства транспорта Российской Федерации"
(подготовлен Минтрансом России 15.04.2019 г.)
Во исполнение пункта 5 статьи 19 Федерального закона от 27 июня 2006 г. N 152-ФЗ "О персональных данных" (Российская газета, N 165, 29.07.2006), Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Российская газета, N 165, 29.07.2006), а также в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства РФ, 05.11.2012 г., N 45, ст. 6257), постановлением Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Российская газета, N 70, 30.03.2012), приказываю:
1. Утвердить:
модель угроз информационной системы персональных данных ИСПДн "Бухгалтерский учет" Министерства транспорта Российской Федерации (приложение N 1 к настоящему приказу);
модель угроз информационной системы персональных данных ИСПДн "Кадровый учет" Министерства транспорта Российской Федерации (приложение N 2 к настоящему приказу);
отраслевую модель угроз безопасности персональных данных, актуальных при обработке в информационных системах, эксплуатируемых Министерством транспорта Российской Федерации при осуществлении установленных видов деятельности (приложение N 3 к настоящему приказу).
2. Директорам департаментов организовать ознакомление под роспись работников Министерства транспорта Российской Федерации с документами по вопросам защиты информации, необходимыми для обеспечения информационной безопасности Министерства транспорта Российской Федерации, представленных в приложениях настоящего приказа и обеспечить их строгое соблюдение в части касающейся.
3. Контроль за исполнением настоящего приказа возложить на заместителя Министра транспорта Российской Федерации Семенова А.К.
|
Министр |
Е.И. Дитрих |
ПРИЛОЖЕНИЕ N 1
УТВЕРЖДЕНА
приказом Минтранса России
от _______________N__________
Модель угроз
информационной системы персональных данных ИСПДн "Бухгалтерский учет" Министерства транспорта Российской Федерации
Москва, 2019 г.
1. Список сокращений и обозначений
АВС - антивирусные средства
АРМ - автоматизированное рабочее место
АС - автоматизированная система
АСЗИ - автоматизированная система в защищенном исполнении
ИСПДн - информационная система персональных данных
ЛВС - локальная вычислительная сеть
МЭ - межсетевой экран
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
САЗ - система анализа защищенности
СЗИ - средства защиты информации
СЗПДн - система (подсистема) защиты персональных данных
СКЗИ - средства криптографической защиты информации
СОВ - система обнаружения вторжений
ТС - техническое средство
УБПДн - угрозы безопасности персональных данных
2. Термины и определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Автоматизированная система в защищенном исполнении - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации.
Адекватность - свойство соответствия преднамеренному поведению и результатам.
Атака - целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта - состояние защищенности объекта от внешних и внутренних угроз.
Безопасность персональных данных - состояние защищенности персональных данных характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Документированные (декларированные) возможности ПО (ТС) - функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации - возможность получения информации и ее использования.
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Инсталляция - установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора - программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствии с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных - это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Информационно-телекоммуникационная сеть общего пользования -информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Канал атаки - среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона - это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз - перечень возможных угроз.
Нарушитель (субъект атаки) - лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Негативные функциональные возможности - документированные и недокументированных возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:
- модифицировать или искажать алгоритм работы криптосредств в процессе их использования;
- модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;
- получать доступ нарушителям к хранящимся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации, а также к защищаемой информации.
Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носители сведений, составляющих государственную тайну, - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.*(1)
Учитывая определение понятия "информация", термин "носитель информации" можно использовать в качестве синонима термину "носитель сведений".
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных - действия (операции) с персональными данными включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Опубликованные возможности ПО или ТС - возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети Интернет и т.д.).
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Пользователь - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и(или) блокировать аппаратные средства.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных - технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Угроза безопасности объекта - возможное нарушение характеристики безопасности объекта.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которого невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уровень криптографической защиты информации - совокупность требований, предъявляемых к криптосредству.
Успешная атака - атака, достигшая своей цели.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Учетность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.
Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.
Характеристика безопасности объекта - требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.
Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).
3. Нормативно-методическое обеспечение
Настоящий документ составлен в соответствии со следующими действующими нормативно-методическими документами в области защиты персональных данных:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Российская газета, N 165, 29.07.2006);
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Российская газета, N 165, 29.07.2006);
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства РФ, 05.11.2012 г., N 45, ст. 6257);
Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Российская газета, N 70, 30.03.2012);
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный приказом ФСТЭК России от 18 февраля 2013 г. N 21 (Российская газета, N 107, 22.05.2013);
Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденная 14 февраля 2008 г. заместителем директора ФСТЭК России;
Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденная 15 февраля 2008 г. заместителем директора ФСТЭК России;
Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (Собрание законодательства РФ, 28.12.2009, N 52 (1 ч.), ст. 6439);
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства РФ, 22.09.2008, N 38, ст. 4320);
Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства РФ, 24.03.2008, N 12, ст. 1110.);
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 (Российская газета, N 148, 11.07.2008).
4. Общие положения
Настоящий документ разработан на основе нормативно-методических документов ФСТЭК России, регламентирующих порядок обеспечения безопасности ПДн.
Настоящая "Модель угроз информационной системы персональных данных ИСПДн "Бухгалтерский учет"" (далее - Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационной системе персональных данных (ИСПДн). Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных, которые ведут к ущербу жизненно важным интересам личности, общества и государства.
Модель угроз содержит данные по угрозам безопасности персональных данных, обрабатываемых в ИСПДн, связанным:
- с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
- с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
Модель угроз является методическим документом и предназначена для должностных и ответственных лиц оператора персональных данных, администраторов ИСПДн, разработчиков ИСПДн и их подсистем.
Модель угроз разработана на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом директора ФСТЭК России N 58 от 5 февраля 2010 г., и Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, с использованием Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, для конкретной ИСПДн "Бухгалтерский учет" с учетом ее назначения, условий и особенностей функционирования.
Модель угроз предназначена для решения следующих задач:
- анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
- контроль за обеспечением уровня защищенности персональных данных.
В Модели угроз дано обобщённое описание ИСПДн как объекта защиты, возможных источников УБПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модели угроз осуществляется также в случае внесения новых элементов в Базовой модели угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России. Кроме того, Модель угроз может быть пересмотрена по решению оператора (Министерство транспорта Российской Федерации) на основе периодически проводимых им анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений ИСПДн, а также по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в информационной системе.
5. Описание информационной системы персональных данных
Наименование ИСПДн
Наименование ИСПДн - "Бухгалтерский учет". ИСПДн является собственностью Министерства транспорта Российской Федерации.
Местонахождение ИСПДн
ИСПДн располагается по адресу: 109012, Москва, ул. Рождественка, д.1, стр.1, помещения 313, 322, 323.
Охрана помещений
Филиал федерального государственного предприятия "Ведомственная охрана железнодорожного транспорта Российской Федерации".
Взаимодействие с другими ИСПДн
Предполагается взаимодействие ИСПДн "Бухгалтерский учет" с другими информационными системами без использования криптографических средств защиты информации.
6. Принципы модели угроз
В основе Модели угроз лежат следующие общие принципы:
1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных.
2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее - прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее - косвенные угрозы) или косвенных угроз.
3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий.
5) Нарушитель может действовать на различных этапах жизненного цикла ИСПДн.
7. Частная модель угроз безопасности персональных данных
Настоящий раздел составлен в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, и Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России. В разделе определяются актуальные угрозы безопасности персональных данных, не затрагивающие вопросы, связанные с применением в ИСПДн криптосредств.
Исходные данные
а) Категория обрабатываемых ПДн - Xпд.
В ИСПДн обрабатываются персональные данные, которые позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением 1 категории персональных данных.
Устанавливается параметр Xпд = категория 2.
б) Объем обрабатываемых ПДн - Xнпд.
В ИСПДн одновременно обрабатываются персональные данные менее 1000 субъектов персональных данных.
в) Заданные характеристики безопасности ПДн.
Устанавливаются следующие характеристики безопасности ПДн:
|
N п/п |
Характеристика безопасности |
Наличие характеристики безопасности |
|
1 |
Конфиденциальность |
Да |
|
2 |
Целостность |
Нет |
|
3 |
Доступность |
Да |
г) Структура ИСПДн.
По структуре ИСПДн представляет собой локальную информационную систему - комплекс АРМ, объединенных без использования технологии удаленного доступа.
д) Наличие подключений к сетям общего пользования.
Подключение информационной системы к сетям - отсутствует.
е) Режим обработки ПДн.
В ИСПДн режим обработки ПДн многопользовательский с различными правами доступа пользователей.
ж) Местонахождение технических средств ИСПДн.
Местонахождение технических средств информационной системы - все средства находятся в пределах Российской Федерации.
з) Класс ИСПДн.
ИСПДн устанавливается класс К3 - информационная система, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в ней, может привести к незначительным негативным последствиям для субъектов персональных данных. Класс ИСПДн устанавливается соответствующим актом.
ИСПДн является "специальной" по заданным характеристикам безопасности.
Показатель исходной защищенности ИСПДн
Информационная система персональных данных (ИСПДн) "Бухгалтерский учет" имеет следующие технические и эксплуатационные характеристики:
а) Территориальное размещение ИСПДн - локальная ИСПДн, развернутая в пределах одного здания. Уровень защищенности - высокий.
б) Наличие соединения с сетями связи общего пользования - ИСПДн, физически отделенная от сети общего пользования. Уровень защищенности - высокий.
в) встроенные (легальные) операции с записями баз персональных данных - запись, удаление, сортировка. Уровень защищенности - средний.
г) разграничение доступа к персональным данным - ИСПДн, к которой имеет доступ определенный перечень работников организации, являющейся владельцем ИСПДн, либо субъект ПДн. Уровень защищенности - средний.
д) наличие соединений с другими базами персональных данных иных ИСПДн - ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн. Уровень защищенности - высокий.
е) уровень обобщения (обезличивания) персональных данных - ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации. Уровень защищенности - средний.
ж) объем персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки - ИСПДн,не предоставляющие никакой информации. Уровень защищенности - высокий.
Определение исходной степени защищенности:
|
N п/п |
Значение характеристики (уровень защищенности) |
Количество значений |
Процент значений не ниже данного уровня |
|
1 |
Высокий |
4 |
57% |
|
2 |
Средний |
3 |
100% |
|
3 |
Низкий |
0 |
- |
В соответствии полученными данными устанавливается средний показатель исходной защищенности. Устанавливается значение коэффициента Y1=5.
Опасность угроз
Для ИСПДн в пункте "з" подраздела "Исходные данные" установлен класс ИСПДн К3. Характеристики безопасности информации и объектов ИСПДн заданы в пункте "в" подраздела "Исходные данные". Согласно Федеральному закону Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" класс К3 определяется следующим образом: ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Согласно Порядку проведения классификации информационных систем персональных данных, утвержденному приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, угроза имеет низкую опасность, если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных.
Общее определение угрозы безопасности объекта - возможное нарушение характеристики безопасности объекта.
Определение угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Согласно данным положениям для всех угроз частной модели принимается низкая опасность.
Источники угроз, связанных с несанкционированным доступом
В таблице приведены наименования, условные обозначения, характеристики источников угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень источников угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный источник угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный источник угроз не может являться источником угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по нейтрализации данного источника угроз. В столбце "Меры" стоит знак "-", если не приняты меры по нейтрализации данного источника угроз. При оценке актуальности угроз рассматриваются только те источники, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Источник угрозы |
Характеристика |
Меры приняты |
Применимость |
|
1 |
ИНСД0 |
Внешний нарушитель |
Нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.
Внешними нарушителями могут быть: разведывательные службы государств; криминальные структуры; конкуренты (конкурирующие организации); недобросовестные партнеры; внешние субъекты (физические лица).
Внешний нарушитель имеет следующие возможности: осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений; осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена; осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны; осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн. |
- |
- |
|
2 |
ИНСД1 |
Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к ИР |
К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн. Лицо этой категории, может: иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн; располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах; располагать именами и вести выявление паролей зарегистрированных пользователей; изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн. |
- |
+ |
|
3 |
ИНСД2 |
Зарегистрированный пользователь ИР, имеющий ограниченные права доступа к ПДн/ИСПДн с рабочего места |
Лицо этой категории: обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн; располагает конфиденциальными данными, к которым имеет доступ. Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн, должны регламентироваться соответствующими правилами разграничения доступа |
- |
+ |
|
4 |
ИНСД3 |
Пользователи ИР, осуществляющие удаленный доступ к ПДн по ЛВС |
Лицо этой категории: обладает всеми возможностями лиц первой и второй категорий; располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн; имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн. |
- |
+ |
|
5 |
ИНСД4 |
Зарегистрированный пользователь ПДн с полномочиями администратора безопасности структурного подразделения защищаемой ИСПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн; обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн; имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн; имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн; обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн. |
- |
+ |
|
6 |
ИНСД5 |
Зарегистрированный пользователь с полномочиями системного администратора ПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; обладает полной информацией о технических средствах и конфигурации ИСПДн; имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД. |
- |
+ |
|
7 |
ИНСД6 |
Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией об ИСПДн; имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор. |
- |
+ |
|
8 |
ИНСД7 |
Программисты-разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн |
Лицо этой категории: обладает информацией об алгоритмах и программах обработки информации на ИСПДн; обладает возможностями внесения ошибок, не декларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения; может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн. |
- |
+ |
|
9 |
ИНСД8 |
Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт ТС в ИСПДн |
Лицо этой категории: обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения; может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн. |
- |
+ |
|
10 |
ИНСД9 |
Другие категории внутренних нарушителей в соответствии с оргштатной структурой ИСПДн |
|
- |
+ |
|
11 |
ИНСД10 |
Конструктивно встроенная програмнно-аппаратная закладка |
|
- |
- |
|
12 |
ИНСД11 |
Автономная програмнно-аппаратная закладка |
|
- |
- |
|
13 |
ИНСД12 |
Программные закладки |
Программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. |
- |
+ |
|
14 |
ИНСД13 |
Вредоносные программы, распространяющиеся по сети |
К сетевым вирусам относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла. |
- |
+ |
|
15 |
ИНСД14 |
Другие вредоносные программы, предназначенные для осуществления НСД |
В данную категорию попадают: программы подбора и вскрытия паролей; программы, реализующие угрозы; программы, демонстрирующие использование недекларированных возможностей программного и - программно-аппаратного обеспечения ИСПДн; программы-генераторы компьютерных вирусов; программы, демонстрирующие уязвимости средств защиты информации и др. |
- |
+ |
|
16 |
ИНСД15 |
Загрузочные вирусы |
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (MasterBootRecord), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса. Основными действиями, выполняемыми этими вирусами, являются: уничтожение информации в секторах дискет и винчестера; исключение возможности загрузки операционной системы (компьютер "зависает"); искажение кода загрузчика; форматирование съемных носителей или логических дисков винчестера; закрытие доступа к COM- и LPT-портам; подергивания экрана; изменение метки диска или съемного носителя; создание псевдосбойных кластеров; порча файлов данных; перезагрузка компьютера; вывод на экран разнообразных сообщений; отключение периферийных устройств (например, клавиатуры); заполнение экрана посторонними символами или изображениями; погашение экрана и перевод в режим ожидания ввода с клавиатуры; шифрование секторов винчестера; выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры; уменьшение объема оперативной памяти; блокирование записи на диск; уничтожение таблицы разбиения (DiskPartitionTable); блокирование доступа к винчестеру. Большинство загрузочных вирусов перезаписывают себя на флоппи-диски. |
- |
+ |
|
17 |
ИНСД16 |
Замещающие файловые вирусы |
Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. |
- |
+ |
|
18 |
ИНСД17 |
Паразитические файловые вирусы |
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало, середину или конец файлов. Отдельно следует отметить довольно незначительную группу паразитических вирусов, не имеющих "точки входа" (EPO-вирусы - EntryPointObscuringviruses). К ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы "спать" внутри файла и проявить себя только при некоторых ограниченных условиях. |
- |
+ |
|
19 |
ИНСД18 |
Файловые компаньон-вирусы |
К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. |
- |
+ |
|
20 |
ИНСД19 |
Файловые черви |
При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии. |
- |
+ |
|
21 |
ИНСД20 |
Link-вирусы |
Не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы. |
- |
+ |
|
22 |
ИНСД21 |
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ |
Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл. Получив управление, файловый вирус совершает следующие общие действия: проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы; выполняет дополнительные функции (если они есть): деструктивные действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.); возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо лечат файл, выполняют его, а затем снова заражают, либо восстанавливают программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). |
- |
+ |
|
23 |
ИНСД22 |
Макро-вирусы |
Макро-вирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями: 1) привязки программы на макроязыке к конкретному файлу; 2) копирования макропрограмм из одного файла в другой; 3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы). Большинство макро-вирусов активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа. |
- |
+ |
Разные источники могут приводить к реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик источников угроз и особенностей функционирования ИСПДн, источники угроз сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
1 |
Список "Источники НСД 1" |
ИНСД2, ИНСД3, ИНСД4, ИНСД5, ИНСД6 |
|
2 |
Список "Источники НСД 2" |
ИНСД2, ИНСД3, ИНСД4, ИНСД5, ИНСД6, ИНСД9 |
|
3 |
Список "Источники НСД 3" |
ИНСД7, ИНСД8, ИНСД9 |
|
4 |
Список "Источники НСД 4" |
ИНСД9 |
|
5 |
Список "Источники НСД 5" |
ИНСД12, ИНСД13, ИНСД14 |
|
6 |
Список "Источники НСД 6" |
ИНСД15, ИНСД16, ИНСД17, ИНСД18, ИНСД19, ИНСД20, ИНСД21 |
|
7 |
Список "Источники НСД 7" |
ИНСД16, ИНСД17, ИНСД18, ИНСД19, ИНСД20, ИНСД21, ИНСД22 |
Уязвимости ИСПДн
В таблице приведены наименования, условные обозначения, характеристики возможных уязвимостей ИСПДн, связанных с несанкционированным доступом. В таблице приведен полный перечень уязвимостей в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данная уязвимость существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данная уязвимость не может привести к реализации угрозы для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данной уязвимости. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данной уязвимости. При оценке актуальности угроз рассматриваются только те уязвимости, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Уязвимость |
Характеристика |
Меры приняты |
Применимость |
|
1 |
У0 |
Уязвимости микропрограмм, прошивок ПЗУ, ППЗУ (наличие в ИСПДн вредоносной программы) |
Уязвимости в микропрограммах могут представлять собой: фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно-модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации. |
+ |
- |
|
2 |
У1 |
Уязвимости драйверов аппаратных средств (наличие в ИСПДн вредоносной программы) |
|
+ |
- |
|
3 |
У2 |
Уязвимости в процессе инициализации ОС (наличие в ИСПДн вредоносной программы) |
Перехват паролей или идентификаторов, модификация программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. |
+ |
+ |
|
4 |
У3 |
Уязвимость операционной системы при незащищенном режиме работы процессора (наличие в ИСПДн вредоносной программы) |
|
+ |
- |
|
5 |
У4 |
Уязвимости в процессе функционирования ОС в привилегированном режиме (наличие в ИСПДн вредоносной программы) |
|
+ |
+ |
|
6 |
У5 |
Уязвимости прикладного ПО (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. |
+ |
+ |
|
7 |
У6 |
Уязвимости специального ПО (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации |
+ |
+ |
|
8 |
У7 |
Уязвимости ПО пользователя (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. |
+ |
+ |
|
9 |
У8 |
Уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки |
|
- |
- |
|
10 |
У9 |
Уязвимости на канальном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
11 |
У10 |
Уязвимости на сетевом уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
ARP: аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) - возможность перехвата трафика пользователя злоумышленником; IGMP: отсутствие аутентификации сообщений об изменении параметров маршрута - зависание систем Win 9x/NT/2000. |
+ |
+ |
|
12 |
У11 |
Уязвимости на транспортном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
UDP: отсутствие механизма предотвращения перегрузок буфера - возможность реализации UDР шторма; в результате обмена пакетами происходит существенное снижение производительности сервера; RIP: отсутствие аутентификации управляющих сообщений об изменении маршрута - возможность перенаправления трафика через хост злоумышленника; TCP: отсутствие механизма проверки корректности заполнения служебных заголовков пакета - существенное снижение скорости обмена и даже полный разрыв произвольных соединений TCP. |
+ |
+ |
|
13 |
У12 |
Уязвимости на сеансовом уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS - сервера. |
+ |
+ |
|
14 |
У13 |
Уязвимости на презентационном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS - сервера. |
+ |
+ |
|
15 |
У14 |
Уязвимости на прикладном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS - сервера |
+ |
+ |
|
16 |
У15 |
Уязвимости, вызванные недостатками организации ТЗИ от НСД |
|
- |
+ |
|
17 |
У16 |
Уязвимости СЗИ |
|
- |
- |
|
18 |
У17 |
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе и отказов этих средств |
|
- |
+ |
Разные уязвимости могут приводить к реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик уязвимостей и особенностей функционирования ИСПДн, уязвимости сгруппированы в списки, которые представлены в таблице. Уязвимости, входящие в один и тот же список, могут быть использованы для реализации схожих угроз.
|
N п/п |
Название списка |
Элементы списка |
|
1 |
Список "Уязвимости 1" |
У2, У4 |
|
2 |
Список "Уязвимости 2" |
У2, У4, У5, У6, У7 |
|
3 |
Список "Уязвимости 3" |
У5, У6, У7 |
|
4 |
Список "Уязвимости 4" |
У9, У10, У11, У12, У13, У14 |
|
5 |
Список "Уязвимости 5" |
У15 |
|
6 |
Список "Уязвимости 6" |
У15, У17 |
|
7 |
Список "Уязвимости 7" |
У17 |
Способы реализации угроз
В таблице приведены наименования, условные обозначения, характеристики способов реализации угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень способов реализации угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный способ реализации угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный способ реализации угроз не может привести к реализации угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данного способа реализации угроз. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данного способа реализации угроз. При оценке актуальности угроз рассматриваются только те способы реализации угроз, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Способ реализации |
Характеристика |
Меры приняты |
Применимость |
|
1 |
Р0 |
Обход СЗИ используя существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
- |
|
2 |
Р1 |
Деструктивное воздействие на СЗИ, с использованием существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
- |
|
3 |
Р2 |
Вскрытие или перехват пароля, с использованием существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
+ |
|
4 |
Р3 |
Перехват информации, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
5 |
Р4 |
Модификация передаваемых данных, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
6 |
Р5 |
Перезагрузка ресурсов (отказ в обслуживании) используя уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
7 |
Р6 |
Внедрение вредоносных программ, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
8 |
Р7 |
Удаленный несанкционированный доступ в систему, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
9 |
Р8 |
Разглашение и утечка информации, на незащищенные рабочие места вычислительной сети, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
10 |
Р9 |
Использование остаточной, не учтенной информации (сбор "мусора") используя существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
+ |
|
11 |
Р10 |
Внедрение новых уязвимостей в ИСПДн на этапе проектирования и разработки ИСПДн |
|
- |
- |
|
12 |
Р11 |
Использование нештатного программно-аппаратного обеспечения внедренного в ИСПДн на этапе эксплуатации |
|
- |
+ |
|
13 |
Р12 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем обмена программами и данными, содержащими выполняемые модули (скрипты, макросы и т.д.) |
|
+ |
+ |
|
14 |
Р13 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем изменения конфигурации программно-аппаратого обеспечения |
|
+ |
+ |
|
15 |
Р14 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем модификации ПО и данных |
|
+ |
+ |
|
16 |
Р15 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем разработки вредоносных программ |
|
+ |
- |
|
17 |
Р16 |
Публикация и разглашение защищаемых сведений с использованием штатных средств на этапе эксплуатации |
|
+ |
+ |
|
18 |
Р17 |
Внедрение новых уязвимостей в ИСПДн на этапе сопровождения ИСПДн |
|
- |
- |
|
19 |
Р18 |
Внедрение новых уязвимостей в ИСПДн на этапе утилизации элементов АС |
|
- |
- |
|
20 |
Р19 |
Методы сокрытия в наименьших значащих битах |
Основаны на записи сообщения в наименьшие значащие биты исходного сигнала. В качестве контейнера используется, как правило, несжатый аудио-сигнал. Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям. Используется только для определенных форматов аудио-файлов. Достаточно высокая емкость контейнера (до 25 %). |
- |
- |
|
21 |
Р20 |
Методы сокрытия на основе распределения по спектру |
Основаны на генерации псевдослучайного шума, являющегося функцией внедряемого сообщения и подмешивании полученного шума к основному сигналу-контейнеру в качестве аддитивной составляющей. Кодирование потоков информации путем рассеяния кодированных данных по спектру частот. Низкий коэффициент использования контейнера. Значительные вычислительные затраты. Сравнительно высокая скрытность сообщения. |
- |
- |
|
22 |
Р21 |
Методы сокрытия на основе использования эхо-сигнала |
Основаны на использовании в качестве шумоподобного сигнала самого аудио-сигнала, задержанного на различные периоды времени в зависимости от внедряемого сообщения ("дозвоночного эха"). Низкий коэффициент использования контейнера. Значительные вычислительные затраты. Сравнительно высокая скрытность сообщения. |
- |
- |
|
23 |
Р22 |
Методы сокрытия в фазе сигнала |
Основаны на факте нечувствительности уха человека к абсолютному значению фазы гармоник. Аудио-сигнал разбивается на последовательность сегментов, сообщение встраивается путем модификации фазы первого сегмента. Малый коэффициент использования контейнера. Обладает значительно более высокой скрытностью, чем методы сокрытия в НЗБ. |
- |
- |
|
24 |
Р23 |
Метод сокрытия на основе пробелов |
Основан на вставке пробелов в конце строчек, после знаков препинания, между словами при выравнивании длины строк. Метод чувствителен к переносу текста из одного формата в другой. Возможна потеря сообщения. Невысокая скрытность. Достаточно большая пропускная способность. |
- |
- |
|
25 |
Р24 |
Метод сокрытия на основе синтаксических особенностей текста |
Основан на том, что правила пунктуации, допускают неоднозначности при расстановке знаков препинания. Чередования причастных и деепричастных оборотов. Очень низкая пропускная способность. Сложность детектирования сообщения. Существует потенциальная возможность подобрать такой метод, при котором потребуются весьма сложные процедуры для раскрытия сообщения. |
- |
- |
|
26 |
Р25 |
Метод сокрытия на основе синонимов |
Основан на вставке информации в текст, при помощи чередования слов из какой-либо группы синонимов. Трудно применим к русскому языку в связи с большим разнообразием оттенков в разных синонимах. Один из наиболее перспективных методов. Обладает сравнительно высокой скрытностью сообщения. |
- |
- |
|
27 |
Р26 |
Метод сокрытия на основе использования ошибок |
Основан на маскировке информационных битов под естественные ошибки, опечатки, нарушения правил написания сочетаний гласных и согласных, замене кириллицы на аналогичные по внешнему виду латинские буквы и др. Невысокая пропускная способность. Быстро вскрывается при статистическом анализе. Весьма прост в применении. Высокая скрытность при анализе человеком. |
- |
- |
|
28 |
Р27 |
Метод сокрытия на основе генерации квазитекста |
Основан на генерации текстового контейнера с использованием набора правил построения предложений. Используется симметричная криптография. Невысокая пропускная способность. Бессмысленность созданного текста. Скрытность определяется методов шифрования и, как правило, весьма высока. |
- |
- |
|
29 |
Р28 |
Метод сокрытия на основе использования особенностей шрифта |
Основан на вставке информации за счет изменения типа шрифта и размера букв, а также на возможности встраивания информации в блоки с неизвестными для браузера идентификаторами. Легко выявляется при преобразовании масштаба документа, при статистическом стегоноанализе. Высокий коэффициент использования контейнера. |
- |
- |
|
30 |
Р29 |
Методы сокрытия на основе использования кода документа и файла |
Основаны на размещении информации в зарезервированных и неиспользуемых полях переменной длины. Низкая скрытность при известном формате файла. Просты в применении. |
- |
- |
|
31 |
Р30 |
Методы сокрытия на основе использования жаргона |
Основаны на изменении значений слов. Низкая пропускная способность. Узко специализирован. Низкая скрытность. Просты в применении. |
- |
- |
|
32 |
Р31 |
Методы сокрытия на основе использования чередования длины слов |
Основан на генерации текста-контейнера с формированием слов определенной длины по известному правилу кодирования. Сложность формирования контейнера и сообщения. Достаточно высокая скрытность при анализе человеком. |
- |
- |
|
33 |
Р32 |
Методы сокрытия на основе использования первых букв |
Основан на внедрении сообщения в первые буквы слов текста с подбором слов. Сложность составления сообщения. Низкая скрытность сообщения. Дает большую свободу выбора оператору, придумывающему сообщение. |
- |
- |
|
34 |
Р33 |
Методы сокрытия в наименьших значащих битах |
Основан на записи сообщения в наименьшие значащие биты исходного изображения. Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям. Достаточно высокая емкость контейнера (до 25 %). |
- |
- |
|
35 |
Р34 |
Метод сокрытия на основе модификации индексного формата представления |
Основан на редукции (замены) цветовой палитры и упорядочивании цветов в пикселях с соседними номерами. Применяется преимущественно к сжатым изображениям. Невысокая скрытность передачи сообщения. Сравнительно высокая емкость контейнера. |
- |
- |
|
36 |
Р35 |
Метод сокрытия на основе использования автокорреляционной функции |
Основан на поиске с применением автокорреляционной функции областей, содержащих сходные данные. Сложность расчетов. Устойчивость к большинству нелинейных преобразований контейнера. |
- |
- |
|
37 |
Р36 |
Метод сокрытия на основе использования нелинейной модуляции встраиваемого сообщения |
Основан на модуляции псевдослучайного сигнала сигналом, содержащим скрываемую информацию. Низкая точность детектирования. Искажения. Достаточно высокая скрытность сообщения. |
- |
- |
|
38 |
Р37 |
Методы сокрытия на основе использования знаковой модуляции встраиваемого сообщения |
Основан на модуляции псевдослучайного сигнала биполярным сигналом, содержащим скрываемую информацию. Низкая точность детектирования. Искажения. Достаточно высокая скрытность сообщения. |
- |
- |
|
39 |
Р38 |
Метод сокрытия на основе вейвлет-преобразования |
Основан на особенностях вейвлет-преобразований. Сложность расчетов. Высокая скрытность. |
- |
- |
|
40 |
Р39 |
Методы сокрытия на основе использования дискретного косинусного преобразования |
Основан на особенностях дискретного косинусного преобразования. Сложность расчетов. Высокая скрытность. |
- |
- |
|
41 |
Р40 |
Нетрадиционные информационные каналы |
В нетрадиционных информационных каналах, основанных на манипуляции различных характеристик ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний. Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн: на аппаратном уровне; на уровне микрокодов и драйверов устройств; на уровне операционной системы; на уровне прикладного программного обеспечения; на уровне функционирования каналов передачи данных и линий связи. Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п. Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала. Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД. |
- |
- |
Разные способы реализации могут быть использованы для реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик способов реализации и особенностей функционирования ИСПДн, способы реализации сгруппированы в списки, которые представлены в таблице. Способы реализации, входящие в один и тот же список, могут быть использованы для реализации схожих угроз.
|
N п/п |
Название списка |
Элементы списка |
|
1 |
Список "Реализации 1" |
Р2 |
|
2 |
Список "Реализации 2" |
Р2, Р11 |
|
3 |
Список "Реализации 3" |
Р3, Р4, Р5, Р6, Р7, Р12, Р13, Р14 |
|
4 |
Список "Реализации 4" |
Р8, Р16 |
|
5 |
Список "Реализации 5" |
Р9 |
Объекты воздействия
В таблице приведены наименования, условные обозначения, характеристики объектов воздействия угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень объектов воздействия в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный объект воздействия существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный объект воздействия отсутствует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите данного объекта воздействия. В столбце "Меры" стоит знак "-", если не приняты меры по защите данного объекта воздействия. При оценке актуальности угроз рассматриваются только те объекты воздействия, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Объект воздействия |
Характеристика |
Меры приняты |
Применимость |
|
1 |
О0 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на гибких магнитных дисках |
|
- |
- |
|
2 |
О1 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на сменных жестких магнитных дисках |
|
- |
+ |
|
3 |
О2 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на накопителях ZIP |
|
- |
- |
|
4 |
О3 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на накопителях электронной памяти типа флэш |
|
- |
+ |
|
5 |
О4 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на аудио-, видеокассетах, магнитных лентах |
|
- |
- |
|
6 |
О5 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на оптических компакт-дисках |
|
- |
+ |
|
7 |
О6 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в сотовых телефонах, карманных компьютерах, цифровых фотоаппаратов, mp3-проигрывателях |
|
- |
+ |
|
8 |
О7 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в цифровых видеокамерах |
|
- |
+ |
|
9 |
О8 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в другие устройствах |
|
- |
+ |
|
10 |
О9 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на встроенных жестких магнитных дисках |
|
- |
+ |
|
11 |
О10 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на постоянных запоминающих устройствах |
|
- |
+ |
|
12 |
О11 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на встроенных перепрограммируемых (перезаписываемых) запоминающих устройствах |
|
- |
+ |
|
13 |
О12 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в оперативной памяти |
|
- |
+ |
|
14 |
О13 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в кэш-памяти, буферах ввода-вывода |
|
- |
+ |
|
15 |
О14 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в видеопамяти |
|
- |
+ |
|
16 |
О15 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в оперативной памяти подключаемых устройств |
|
- |
+ |
|
17 |
О16 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода Клавиатуры |
|
- |
+ |
|
18 |
О17 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода манипулятора мыши |
|
- |
+ |
|
19 |
О18 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода сканера |
|
- |
- |
|
20 |
О19 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода дисплея и монитора |
|
- |
+ |
|
21 |
О20 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода принтера |
|
- |
+ |
|
22 |
О21 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода плоттера |
|
- |
- |
|
23 |
О22 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода приводов магнитных и оптических дисков |
|
- |
+ |
|
24 |
О23 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода для подключения периферийных устройств |
|
- |
+ |
|
25 |
О24 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода аппаратуры для передачи данных |
|
- |
+ |
|
26 |
О25 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода других устройств используемых для ввода/вывода информации |
|
- |
+ |
|
27 |
О26 |
Информация на канальном уровне |
|
- |
+ |
|
28 |
О27 |
Информация на сетевом уровне |
|
- |
+ |
|
29 |
О28 |
Информация на транспортном уровне |
|
- |
+ |
|
30 |
О29 |
Информация на сеансовом уровне |
|
- |
+ |
|
31 |
О30 |
Информация на презентационном уровне |
|
- |
+ |
|
32 |
О31 |
Информация на прикладном уровне |
|
- |
+ |
Разные объекты воздействия могут быть подвержены схожим угрозам, связанным с несанкционированным доступом. В результате анализа характеристик объектов воздействия и особенностей функционирования ИСПДн, объекты воздействия сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
1 |
Список "Объекты 1" |
О1, О3, О5, О6, О7, О8, О9, О10, О11, О12, О13, О14, О15, О16, О17, О19, О20, О22, О23, О24, О25, О26, О27, О28, О29, О30, О31 |
Деструктивные действия
В таблице приведены наименования, условные обозначения, характеристики деструктивных действий, связанных с несанкционированным доступом. В таблице приведен полный перечень деструктивных действий в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данное деструктивное действие может быть осуществлено в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данное деструктивное действие не может быть осуществлено в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите от данного деструктивного действия. В столбце "Меры" стоит знак "-", если не приняты меры по защите от данного деструктивного действия. При оценке актуальности угроз рассматриваются только те деструктивные действия, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Деструктивное действие |
Характеристика |
Меры приняты |
Применимость |
|
1 |
Д0 |
Утечка информации обрабатываемой на объекте |
|
- |
+ |
|
2 |
Д1 |
Утечка информации о составе и конфигурации ПАО |
|
- |
+ |
|
3 |
Д2 |
Утечка информации о составе и конфигурации СЗИ |
|
- |
+ |
|
4 |
Д3 |
Несанкционированное копирование информации, обрабатываемой на объекте |
|
- |
+ |
|
5 |
Д4 |
Несанкционированное копирование информации о составе и конфигурации ПАО |
|
- |
+ |
|
6 |
Д5 |
Несанкционированное копирование информации о составе и конфигурации СЗИ |
|
- |
+ |
|
7 |
Д6 |
Перехват информации в каналах передачи данных обрабатываемой на объекте |
|
- |
+ |
|
8 |
Д7 |
Перехват информации в каналах передачи данных о составе и конфигурации ПАО |
|
- |
+ |
|
9 |
Д8 |
Перехват информации в каналах передачи данных о составе и конфигурации СЗИ |
|
- |
+ |
|
10 |
Д9 |
Разглашение, (публикация) защищаемой информации обрабатываемой на объекте |
|
- |
+ |
|
11 |
Д10 |
Разглашение, (публикация) защищаемой информации о составе и конфигурации ПАО |
|
- |
+ |
|
12 |
Д11 |
Разглашение, (публикация) защищаемой информации о составе и конфигурации СЗИ |
|
- |
+ |
|
13 |
Д12 |
Нарушение целостности (уничтожение, модификация, дезинформация) ПО и данных пользователя |
|
- |
+ |
|
14 |
Д13 |
Нарушение целостности (уничтожение, модификация, дезинформация) микропрограмм, данных и драйверов устройств вычислительной системы |
|
- |
+ |
|
15 |
Д14 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ, данных и драйверов устройств обеспечивающих загрузку(инициализацию) ОС и СЗИ |
|
- |
- |
|
16 |
Д15 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных (дескрипторы, описатели, структуры, таблицы и т. д.) ОС |
|
- |
+ |
|
17 |
Д16 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных прикладного ПО |
|
- |
+ |
|
18 |
Д17 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных специального ПО |
|
- |
+ |
|
19 |
Д18 |
Нарушение целостности (уничтожение, модификация, дезинформация) промежуточных (оперативных) значений программ и данных в процессе их обработки средствами и устройствами вычислительной техники |
|
- |
+ |
|
20 |
Д19 |
Нарушение целостности (уничтожение, модификация, дезинформация) путем внедрения вредоносной программы |
|
- |
+ |
|
21 |
Д20 |
Нарушение целостности (уничтожение, модификация, дезинформация) путем внедрения программно-аппаратной закладки |
|
- |
- |
|
22 |
Д21 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления конфигурацией сетей |
|
- |
- |
|
23 |
Д22 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления адресами и маршрутизацией передачи данных в сети |
|
- |
- |
|
24 |
Д23 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления функциональным контролем сети |
|
- |
- |
|
25 |
Д24 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средства управления безопасностью информации в сети |
|
- |
- |
|
26 |
Д25 |
Нарушение целостности (уничтожение, модификация, дезинформация) СЗИ |
|
- |
+ |
|
27 |
Д26 |
Нарушение функционирования и отказы средств обработки информации |
|
- |
+ |
|
28 |
Д27 |
Нарушение и отказы функционирования средств ввода/вывода информации |
|
- |
+ |
|
29 |
Д28 |
Нарушение и отказы функционирования средств хранения информации |
|
- |
+ |
|
30 |
Д29 |
Нарушение и отказы функционирования аппаратуры и каналов передачи данных |
|
- |
+ |
|
31 |
Д30 |
Нарушение и отказы функционирования СЗИ |
|
- |
- |
Разные деструктивные действия могут быть результатом реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик деструктивных действий и особенностей функционирования ИСПДн, деструктивные действия сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
1 |
Список "Действия 1" |
Д0, Д1, Д2, Д3, Д4, Д5, Д6, Д7, Д8, Д9, Д10, Д11 |
|
2 |
Список "Действия 2" |
Д0, Д1, Д2, Д3, Д4, Д5, Д6, Д7, Д8, Д9, Д10, Д11, Д12, Д13, Д15, Д16, Д17, Д18, Д19, Д25, Д26, Д27, Д28, Д29 |
Источники угроз, связанных с техническими каналами утечки
В таблице приведены наименования, условные обозначения, характеристики источников угроз, связанных с утечкой по техническим каналам. В таблице приведен полный перечень источников угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный источник угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный источник угроз не может являться источником угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по нейтрализации данного источника угроз. В столбце "Меры" стоит знак "-", если не приняты меры по нейтрализации данного источника угроз. При оценке актуальности угроз рассматриваются только те источники, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Источник угрозы |
Характеристика |
Меры приняты |
Применимость |
|
1 |
ИТКУИ0 |
Физические лица, не имеющие доступа к ИСПД |
|
- |
- |
|
2 |
ИТКУИ1 |
Зарубежные спецслужбы |
|
- |
- |
|
3 |
ИТКУИ2 |
Зарубежные организации |
|
- |
- |
|
4 |
ИТКУИ3 |
Криминальные группировки |
|
- |
- |
Разные источники могут приводить к реализации схожих угроз, связанных с утечкой по техническим каналам. В результате анализа характеристик источников угроз и особенностей функционирования ИСПДн, источники угроз сгруппированы в списки, которые представлены в таблице.
Носители ПДн
В таблице приведены наименования, условные обозначения, характеристики носителей ПДн. В таблице приведен полный перечень носителей ПДн в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный носитель ПДн существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный носитель ПДн не существует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите данного носителя ПДн. В столбце "Меры" стоит знак "-", если не приняты меры по защите данного носителя ПДн. При оценке актуальности угроз рассматриваются только те носители ПДн, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Носитель ПДн |
Характеристика |
Меры приняты |
Применимость |
|
1 |
Н0 |
Пользователь ИСПД, осуществляющий голосовой ввод ПД |
|
- |
- |
|
2 |
Н1 |
Акустическая система ИСПД воспроизводящая ПД |
|
- |
- |
|
3 |
Н2 |
ВТСС и ТС ИСПД создающие физические поля, в которых информация находит свое отражение |
|
- |
- |
Разные носители ПДн могут быть объектом схожих угроз, связанных с утечкой по техническим каналам. В результате анализа характеристик носителей ПДн и особенностей функционирования ИСПДн, носители ПДн сгруппированы в списки, которые представлены в таблице.
Технические каналы утечки
В таблице приведены наименования, условные обозначения, характеристики технических каналов утечки информации. В таблице приведен полный перечень технических каналов в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный канал утечки существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный канал утечки не существует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данного канала утечки. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данного канала утечки. При оценке актуальности угроз рассматриваются только те каналы утечки, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Канал утечки |
Характеристика |
Меры приняты |
Применимость |
|
1 |
К0 |
Акустооптика |
Оптические излучения, возникающие посредством преобразования информативного сигнала из акустического в оптический за счет акустооптических модуляторов на базе волоконно-оптических линий (светодиодов), находящихся в акустическом поле речевого сигнала ("оптические микрофоны"). |
- |
- |
|
2 |
К1 |
Направленные микрофоны (акустика) |
Стационарные, портативные носимые, портативные возимые направленные микрофоны с дальностью перехвата до 200 м |
- |
- |
|
3 |
К2 |
Ненаправленные микрофоны (акустика) |
Портативные носимые, портативные возимые ненаправленные микрофоны с дальностью перехвата до 10 м. |
- |
- |
|
4 |
К3 |
Вибродатчики (виброакустика) |
Автономные автоматические (совместно со средствами приема ретранслируемого сигнала) вибродатчики с дальностью действия до 10 м (на поверхностях 150 см и более). |
- |
- |
|
5 |
К4 |
Лазерные микрофоны (виброакустика) |
Стационарные, портативные носимые, портативные возимые лазерные микрофоны с дальностью перехвата до 500 м. |
- |
- |
|
6 |
К5 |
Средства съема электрических сигналов с гальваническим подключением (акустоэлектрика) |
Стационарные, портативные возимые средства съема электрических сигналов с гальваническим подключением с дальностью перехвата до 300 м. |
- |
- |
|
7 |
К6 |
Приемники электромагнитного излучения |
Стационарные, портативные возимые приемники электромагнитного излучения с дальностью перехвата до 1000 м. |
- |
- |
|
8 |
К7 |
Оптический канал доступный из-за пределов ИСПДн |
Для наблюдения за объектами на значительном расстоянии (от нескольких сот метров до нескольких километров) используются стационарные и портативные возимые средства: крупногабаритные устройства с телескопическими объективами (телескопы), обладающие высоким коэффициентом усиления, сопряженные с различного рода устройствами регистрации изображений; телевизионные камеры, в том числе работающие при низких уровнях освещённости объекта наблюдения и обладающие высоким коэффициентом усиления и устойчивостью к засветкам от попавших в поле зрения ярких источников света; приборы ночного видения пассивного или активного (с подсветкой) типа. |
+ |
- |
|
9 |
К8 |
Оптический канал доступный вблизи ИСПДн |
К портативным средствам наблюдения (регистрации), используемым на дальностях до сотен метров относятся: портативные аналоговые и цифровые фото- и видеокамеры; цифровые видеокамеры, встроенные в сотовые телефоны; миниатюрные видеокамеры с Пинхоул-объективами. Перехват может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них, а также из транспортных средств, осуществляющих движение в близи служебных помещений или при их парковке рядом с этими помещениями |
+ |
- |
|
10 |
К9 |
Оптический канал автономный |
В качестве автономной автоматической аппаратуры используются миниатюрные оптические приборы с возможностью перехвата (просмотра) ПДн на расстояниях десятков метров. |
+ |
- |
|
11 |
К10 |
ПЭМИ информативных сигналов от технических средств и линий передачи информации |
Побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации. Перехват сигналов ПЭМИ может осуществляться: программно-аппаратными комплексами перехвата; портативными сканерными приёмниками; цифровыми анализаторами спектра, управляемыми компьютером со специальным программным обеспечением; селективными микровольтметрами. Дальность перехвата до 1000 м. |
- |
- |
|
12 |
К11 |
Наводки информативного сигнала |
Наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы служебных помещений. Каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств ИСПДн и ВТСС и посторонних проводников (в том числе цепей электропитания и заземления). Наводки электромагнитных излучений технических средств ИСПДн возникают при излучении элементами технических средств ИСПДн информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств ИСПДн, линий ВТСС и посторонних проводников. В результате на случайных антеннах (цепях ВТСС или посторонних проводниках) наводится информативный сигнал. Прохождение информативных сигналов в цепи электропитания возможно при наличии емкостной, индуктивной или гальванической связей источника информативных сигналов в составе технических средств ИСПДн и цепей питания. Информативный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информативного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информативного сигнала. Прохождение информативных сигналов в цепи заземления обусловлено наличием емкостной, индуктивной или гальванической связи источника информативных сигналов в составе технических средств ИСПДн и цепей заземления. При этом кроме заземляющих проводников, служащих для непосредственного соединения технических средств ИСПДн с контуром заземления, гальваническую связь с данным контуром могут иметь различные проводники, выходящие за пределы контролируемой зоны (нулевой провод сети электропитания, экраны соединительных кабелей, металлические трубы систем отопления и водоснабжения). Все эти проводники совместно с заземляющим устройством образуют разветвленную систему заземления, на которую могут наводиться информативные сигналы. Для съема информации с проводных линий могут использоваться: средства съёма сигналов, содержащих защищаемую информацию, с цепей технических средств ИСПДн и ВТСС, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники); средства съёма наведённых информативных сигналов с цепей электропитания; средства съёма наведённых информативных сигналов с шин заземления; средства съёма наведённых информативных сигналов с проводящих инженерных коммуникаций. Дальность перехвата токосъемниками составляет до 300 м. |
- |
- |
|
13 |
К12 |
Паразитные и радио- излучения |
Радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств ИСПДн, или при наличии паразитной генерации в узлах (элементах) технических средств. Перехват сигналов может осуществляться: программно-аппаратными комплексами перехвата; портативными сканерными приёмниками; цифровыми анализаторами спектра, управляемыми компьютером со специальным программным обеспечением; селективными микровольтметрами. Дальность перехвата составляет до 1000 м. |
- |
- |
|
14 |
К13 |
Параметрические каналы утечки информации |
Радиоизлучения, формируемые в результате высокочастотного облучения технических средств ИСПДн, в которых проводится обработка информативных сигналов. Параметрические каналы утечки информации, формируются в результате высокочастотного облучения технических средств ИСПДн, в которых проводится обработка ПДн, и приема переизлученного сигнала средствами, аналогичными средствам перехвата ПЭМИ. При съеме информации по параметрическому каналу для исключения взаимного влияния облучающего и переизлученного сигналов используется временная или частотная развязка. Дальность перехвата составляет до 1000 м. |
- |
- |
|
15 |
К14 |
Волоконно-оптическая система передачи данных |
Для волоконно-оптической системы передачи данных угрозой утечки информации является утечка оптического излучения, содержащего защищаемую информацию, с боковой поверхности оптического волокна за счет: физического процесса распространения оптического излучения с поверхности оптического волокна при его возбуждении внешними источниками излучения; релеевского, молекулярного и Ми-рассеяния, вызванных флюктуациями оптической плотности материалов; особенностей технологии изготовления оптического кабеля (на разъемных и не разъемных соединениях, на продольных изгибах, вызванных при изготовлении и прокладке оптического кабеля). |
- |
- |
Разные источники могут приводить к реализации схожих угроз, связанных с утечкой по техническим каналам. В результате анализа характеристик источников угроз и особенностей функционирования ИСПДн, источники угроз сгруппированы в списки, которые представлены в таблице.
Списки актуальных угроз
Угрозы скомпонованы во множества для краткости представления. Каждая угроза, связанная с несанкционированным доступом, представлена в виде упорядоченной пятерки: "источник угрозы, уязвимость, способ реализации, объект воздействия, деструктивное действие". Каждая угроза, связанная с утечкой информации по техническим каналам, представлена в виде упорядоченной тройки "источник угрозы, носитель ПДн, канал утечки". По результатам обследования ИСПДн определено наличие мер и предпосылок для возможных угроз.
Меры для нейтрализации угрозы считаются принятыми и достаточными, если они позволяют нейтрализовать все компоненты угрозы. Меры считаются принятыми, но недостаточными, если нейтрализуются не все компоненты угрозы. Меры считаются не принятыми, если они не позволяют нейтрализовать ни один компонент угрозы. Решение о наличии мер для нейтрализации каждой угрозы принимается на основе обследования ИСПДн.
Существование предпосылок для угроз определяется экспертом с учетом особенностей архитектуры и функционирования ИСПДн.
Вероятность угрозы определяется по таблице:
|
Предпосылки |
Вероятность угрозы/Меры |
||
|
Меры не приняты |
Меры недостаточны |
Меры достаточны |
|
|
Есть предпосылки |
Высокая вероятность |
Средняя вероятность |
Низкая вероятность |
|
Нет предпосылок |
Маловероятно |
Маловероятно |
Маловероятно |
По вероятности для угрозы определяется коэффициент Y1.
Далее, для каждой угрозы в зависимости от вероятности и исходного уровня защищенности определяется возможность ее реализации - коэффициент Y = (Y1+Y2)/20.
Опасность угроз зависит от класса ИСПДн и уже установлена в начале раздела.
Актуальность угроз определяется по возможности и опасности угрозы.
|
N п/п |
Множество угроз |
Предпосылки |
Меры |
Коэффициент исходной защищенности |
Коэффициент вероятности |
Вероятность |
Коэффициент реализуемости угрозы |
Возможность |
Опасность |
Актуальность |
|
1 |
Источники НСД 1, Уязвимости 6, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
2 |
Источники НСД 1, Уязвимости 6, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
3 |
Источники НСД 3, У15, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
4 |
Источники НСД 3, У15, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
5 |
ИНСД9, У17, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
6 |
ИНСД9, У17, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
7 |
Источники НСД 2, Уязвимости 4, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
8 |
Источники НСД 2, Уязвимости 4, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
9 |
Источники НСД 5, Уязвимости 2, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
10 |
Источники НСД 5, Уязвимости 2, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
11 |
Источники НСД 6, Уязвимости 1, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
12 |
Источники НСД 6, Уязвимости 1, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
13 |
Источники НСД 7, Уязвимости 3, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
14 |
Источники НСД 7, Уязвимости 3, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
15 |
Источники НСД 2, Уязвимости 4, Реализации 2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
16 |
Источники НСД 2, Уязвимости 4, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
17 |
Источники НСД 1, Уязвимости 6, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
18 |
Источники НСД 1, Уязвимости 6, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
19 |
Источники НСД 3, У15, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
20 |
Источники НСД 3, У15, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
21 |
ИНСД9, У17, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
22 |
ИНСД9, У17, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
23 |
Источники НСД 5, Уязвимости 2, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
24 |
Источники НСД 5, Уязвимости 2, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
25 |
Источники НСД 6, Уязвимости 1, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
26 |
Источники НСД 6, Уязвимости 1, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
27 |
Источники НСД 7, Уязвимости 3, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
28 |
Источники НСД 7, Уязвимости 3, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
Экспертная комиссия:
|
Председатель комиссии: |
__________ |
/ / |
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
Члены комиссии: |
|
|
|
|
__________ |
/ / |
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
__________ |
/ / |
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
__________ |
/ / |
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
ПРИЛОЖЕНИЕ N 2
УТВЕРЖДЕНА
приказом Минтранса России
от ______________N_____
Модель угроз информационной системы персональных данных ИСПДн "Кадровый учет"
Министерства транспорта Российской Федерации
Москва, 2019 г.
8. Список сокращений и обозначений
АВС - антивирусные средства
АРМ - автоматизированное рабочее место
АС - автоматизированная система
АСЗИ - автоматизированная система в защищенном исполнении
ИСПДн - информационная система персональных данных
ЛВС - локальная вычислительная сеть
МЭ - межсетевой экран
ОС - операционная система
ПДн - персональные данные
ПМВ - программно-математическое воздействие
ПО - программное обеспечение
ПЭМИН - побочные электромагнитные излучения и наводки
САЗ - система анализа защищенности
СЗИ - средства защиты информации
СЗПДн - система (подсистема) защиты персональных данных
СКЗИ - средства криптографической защиты информации
СОВ - система обнаружения вторжений
ТС - техническое средство
УБПДн - угрозы безопасности персональных данных
9. Термины и определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Автоматизированная система в защищенном исполнении - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) иных нормативных документов по защите информации.
Адекватность - свойство соответствия преднамеренному поведению и результатам.
Атака - целенаправленные действия нарушителя с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз.
Безопасность объекта - состояние защищенности объекта от внешних и внутренних угроз.
Безопасность персональных данных - состояние защищенности персональных данных характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.
Документированные (декларированные) возможности ПО (ТС) - функциональные возможности ПО (ТС), описанные в документации на ПО (ТС).
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Доступ к информации - возможность получения информации и ее использования.
Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.
Закладочное устройство - элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Инсталляция - установка программного продукта на компьютер. Инсталляция обычно выполняется под управлением инсталлятора - программы, которая приводит состав и структуру устанавливаемого программного изделия в соответствии с конфигурацией компьютера, а также настраивает программные параметры согласно типу имеющейся операционной системы, классам решаемых задач и режимам работы. Таким образом, инсталляция делает программный продукт пригодным для использования в данной вычислительной системе и готовым решать определенный класс задач в определенном режиме работы.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных - это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таки средств.
Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.
Информационно-телекоммуникационная сеть общего пользования -информационно-телекоммуникационная сеть, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информация - сведения (сообщения, данные) независимо от формы их представления.
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Канал атаки - среда переноса от субъекта к объекту атаки (а, возможно, и от объекта к субъекту атаки) действий, осуществляемых при проведении атаки.
Конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Контролируемая зона - это пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.
Криптосредство - шифровальное (криптографическое) средство, предназначенное для защиты информации, не содержащей сведений, составляющих государственную тайну. В частности, к криптосредствам относятся средства криптографической защиты информации (СКЗИ) - шифровальные (криптографические) средства защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.
Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель угроз - перечень возможных угроз.
Нарушитель (субъект атаки) - лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.
Негативные функциональные возможности - документированные и недокументированных возможности программных и аппаратных компонентов криптосредства и среды функционирования криптосредства, позволяющие:
- модифицировать или искажать алгоритм работы криптосредств в процессе их использования;
- модифицировать или искажать информационные или управляющие потоки и процессы, связанные с функционированием криптосредства;
- получать доступ нарушителям к хранящимся в открытом виде ключевой, идентификационной и (или) аутентифицирующей информации, а также к защищаемой информации.
Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.
Носители сведений, составляющих государственную тайну - материальные объекты, в том числе физические поля, в которых сведения, составляющие государственную тайну, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов.*(2)
Учитывая определение понятия "информация", термин "носитель информации" можно использовать в качестве синонима термину "носитель сведений".
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
Обработка персональных данных - действия (операции) с персональными данными включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.
Опубликованные возможности ПО или ТС - возможности, сведения о которых содержатся в общедоступных открытых источниках (технические и любые другие материалы разработчика ПО или ТС, монографии, публикации в СМИ, материалы конференций и других форумов, информация из сети Интернет и т.д.).
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.
Пользователь - лицо, участвующее в эксплуатации криптосредства или использующее результаты его функционирования.
Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка - код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и(или) блокировать аппаратные средства.
Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.
Средства имитозащиты - аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.
Технические средства информационной системы персональных данных - технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.
Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.
Угроза безопасности объекта - возможное нарушение характеристики безопасности объекта.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Уничтожение персональных данных - действия, в результате которого невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Уровень криптографической защиты информации - совокупность требований, предъявляемых к криптосредству.
Успешная атака - атака, достигшая своей цели.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уполномоченное оператором лицо - лицо, которому на основании договора оператор поручает обработку персональных данных.
Учетность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.
Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.
Характеристика безопасности объекта - требование к объекту, или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства.
Целостность информации - способность средства вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
10. Нормативно-методическое обеспечение
Настоящий документ составлен в соответствии со следующими действующими нормативно-методическими документами в области защиты персональных данных:
Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (Российская газета, N 165, 29.07.2006);
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (Российская газета, N 165, 29.07.2006);
Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства РФ, 05.11.2012 г., N 45, ст. 6257);
Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (Российская газета, N 70, 30.03.2012);
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденный приказом ФСТЭК России от 18 февраля 2013 г. N 21 (Российская газета, N 107, 22.05.2013);
Методика определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденная 14 февраля 2008 г. заместителем директора ФСТЭК России;
Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденная 15 февраля 2008 г. заместителем директора ФСТЭК России;
Федеральный закон Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" (Собрание законодательства РФ, 28.12.2009, N 52 (1 ч.), ст. 6439);
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства РФ, 22.09.2008, N 38, ст. 4320);
Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена" (Собрание законодательства РФ, 24.03.2008, N 12, ст. 1110.);
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные постановлением Правительства Российской Федерации от 6 июля 2008 г. N 512 (Российская газета, N 148, 11.07.2008).
11. Общие положения
Настоящий документ разработан на основе нормативно-методических документов ФСТЭК России, регламентирующих порядок обеспечения безопасности ПДн.
Настоящая "Модель угроз информационной системы персональных данных ИСПДн "Кадровый учет"" (далее - Модель угроз) содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационной системе персональных данных. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций (в том числе террористических), а также криминальных группировок, создающими условия (предпосылки) для нарушения безопасности персональных данных, которые ведут к ущербу жизненно важным интересам личности, общества и государства.
Модель угроз содержит данные по угрозам безопасности персональных данных, обрабатываемых в ИСПДн, связанным:
- с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения;
- с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн.
Модель угроз является методическим документом и предназначена для должностных и ответственных лиц оператора персональных данных, администраторов ИСПДн, разработчиков ИСПДн и их подсистем.
Модель угроз разработана на основе Положения о методах и способах защиты информации в информационных системах персональных данных, утвержденного приказом директора ФСТЭК России от 5 февраля 2010 г. N 58, и Методики определения актуальных угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, с использованием Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, для конкретной ИСПДн "Кадровый учет" с учетом ее назначения, условий и особенностей функционирования.
Модель угроз предназначена для решения следующих задач:
- анализ защищенности ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
- разработка системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
- проведение мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
- недопущение воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
- контроль за обеспечением уровня защищенности персональных данных.
В Модели угроз дано обобщённое описание ИСПДн как объекта защиты, возможных источников УБПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в настоящей Модели угроз, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации УБПДн в ИСПДн. Внесение изменений в Модели угроз осуществляется также в случае внесения новых элементов в Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России. Кроме того, Модель угроз может быть пересмотрена по решению оператора (Министерство транспорта Российской Федерации) на основе периодически проводимых им анализа и оценки угроз безопасности ПДн с учетом особенностей и (или) изменений ИСПДн, а также по результатам мероприятий по контролю за выполнением требований к обеспечению безопасности ПДн при их обработке в информационной системе.
5. Описание информационной системы персональных данных
Наименование ИСПДн
Наименование ИСПДн - "Кадровый учет". ИСПДн является собственностью Министерства транспорта Российской Федерации.
Местонахождение ИСПДн
ИСПДн располагается по адресу: 109012, Москва, ул. Рождественка, д.1, стр.1, помещения 730, 533.
Охрана помещений
Филиал федерального государственного предприятия "Ведомственная охрана железнодорожного транспорта Российской Федерации".
Взаимодействие с другими ИСПДн
Предполагается взаимодействие ИСПДн "Кадровый учет" с другими информационными системами без использования криптографических средств защиты информации.
6. Принципы модели угроз
В основе Модели угроз лежат следующие общие принципы:
1) Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных.
2) При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее - прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее - косвенные угрозы) или косвенных угроз.
3) Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
4) Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий.
5) Нарушитель может действовать на различных этапах жизненного цикла ИСПДн.
7. Частная модель угроз безопасности персональных данных
Настоящий раздел составлен в соответствии с Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России, и Базовой моделью угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной15 февраля 2008 г. заместителем директора ФСТЭК России. В разделе определяются актуальные угрозы безопасности персональных данных, не затрагивающие вопросы, связанные с применением в ИСПДн криптосредств.
Исходные данные
а) Категория обрабатываемых ПДн - Xпд.
В ИСПДн обрабатываются персональные данные, которые позволяют идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением 1 категории персональных данных.
Устанавливается параметр Xпд = категория 2.
б) Объем обрабатываемых ПДн - Xнпд.
В ИСПДн одновременно обрабатываются персональные данные менее 1000 субъектов персональных данных.
в) Заданные характеристики безопасности ПДн.
Устанавливаются следующие характеристики безопасности ПДн:
|
N п/п |
Характеристика безопасности |
Наличие характеристики безопасности |
|
4 |
Конфиденциальность |
Да |
|
5 |
Целостность |
Нет |
|
6 |
Доступность |
Да |
г) Структура ИСПДн.
По структуре ИСПДн представляет собой локальную информационную систему - комплекс АРМ, объединенных без использования технологии удаленного доступа.
д) Наличие подключений к сетям общего пользования.
Подключение информационной системы к сетям - отсутствует.
е) Режим обработки ПДн.
В ИСПДн режим обработки ПДн многопользовательский с различными правами доступа пользователей.
ж) Местонахождение технических средств ИСПДн.
Местонахождение технических средств информационной системы - все средства находятся в пределах Российской Федерации.
з) Класс ИСПДн.
ИСПДн устанавливается класс К3 - информационная система, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в ней, может привести к незначительным негативным последствиям для субъектов персональных данных. Класс ИСПДн устанавливается соответствующим актом.
ИСПДн является "специальной" по заданным характеристикам безопасности.
Показатель исходной защищенности ИСПДн
Информационная система персональных данных (ИСПДн) "Кадровый учет" имеет следующие технические и эксплуатационные характеристики:
з) Территориальное размещение ИСПДн - локальная ИСПДн, развернутая в пределах одного здания. Уровень защищенности - высокий.
и) Наличие соединения с сетями связи общего пользования - ИСПДн, физически отделенная от сети общего пользования. Уровень защищенности - высокий.
й) встроенные (легальные) операции с записями баз персональных данных - запись, удаление, сортировка. Уровень защищенности - средний.
к) разграничение доступа к персональным данным - ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн. Уровень защищенности - средний.
л) наличие соединений с другими базами персональных данных иных ИСПДн - ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн. Уровень защищенности - высокий.
м) уровень обобщения (обезличивания) персональных данных - ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации. Уровень защищенности - средний.
н) объем персональных данных, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки - ИСПДн, не предоставляющие никакой информации. Уровень защищенности - высокий.
Определение исходной степени защищенности:
|
N п/п |
Значение характеристики (уровень защищенности) |
Количество значений |
Процент значений не ниже данного уровня |
|
4 |
Высокий |
4 |
57% |
|
5 |
Средний |
3 |
100% |
|
6 |
Низкий |
0 |
- |
В соответствии полученными данными устанавливается средний показатель исходной защищенности. Устанавливается значение коэффициента Y1=5.
Опасность угроз
Для ИСПДн в пункте "з" подраздела "Исходные данные" установлен класс ИСПДн К3. Характеристики безопасности информации и объектов ИСПДн заданы в пункте "в" подраздела "Исходные данные". Согласно Федеральному закону Российской Федерации от 27 декабря 2009 г. N 363-ФЗ "О внесении изменений в статьи 19 и 25 Федерального закона "О персональных данных" класс К3 определяется следующим образом: ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.
Согласно Порядку проведения классификации информационных систем персональных данных, утвержденному приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. N 55/86/20, угроза имеет низкую опасность, если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных.
Общее определение угрозы безопасности объекта - возможное нарушение характеристики безопасности объекта.
Определение угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
Согласно данным положениям для всех угроз частной модели принимается низкая опасность.
Источники угроз, связанных с несанкционированным доступом
В таблице приведены наименования, условные обозначения, характеристики источников угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень источников угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке, в информационных системах персональных данных, утвержденной15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный источник угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный источник угроз не может являться источником угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по нейтрализации данного источника угроз. В столбце "Меры" стоит знак "-", если не приняты меры по нейтрализации данного источника угроз. При оценке актуальности угроз рассматриваются только те источники, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Источник угрозы |
Характеристика |
Меры приняты |
Применимость |
|
24 |
ИНСД0 |
Внешний нарушитель |
Нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Внешними нарушителями могут быть: разведывательные службы государств; криминальные структуры; конкуренты (конкурирующие организации); недобросовестные партнеры; внешние субъекты (физические лица). Внешний нарушитель имеет следующие возможности: осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений; осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена; осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны; осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн. |
- |
- |
|
25 |
ИНСД1 |
Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие доступ к ИР |
К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн. Лицо этой категории, может: иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн; располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах; располагать именами и вести выявление паролей зарегистрированных пользователей; изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн. |
- |
+ |
|
26 |
ИНСД2 |
Зарегистрированный пользователь ИР, имеющий ограниченные права доступа к ПДн ИСПДн с рабочего места |
Лицо этой категории: обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа; - обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн; располагает конфиденциальными данными, к которым имеет доступ. Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн, должны регламентироваться соответствующими правилами разграничения доступа. |
- |
+ |
|
27 |
ИНСД3 |
Пользователи ИР, осуществляющие удаленный доступ к ПДн по ЛВС |
Лицо этой категории: обладает всеми возможностями лиц первой и второй категорий; располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн; имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн. |
- |
+ |
|
28 |
ИНСД4 |
Зарегистрированный пользователь ПДн с полномочиями администратора безопасности структурного подразделения защищаемой ИСПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн; обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн; имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн; имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн; обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн. |
- |
+ |
|
29 |
ИНСД5 |
Зарегистрированный пользователь с полномочиями системного администратора ПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении ИСПДн; обладает полной информацией о технических средствах и конфигурации ИСПДн; имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн; обладает правами конфигурирования и административной настройки технических средств ИСПДн. Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД. |
- |
+ |
|
30 |
ИНСД6 |
Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн |
Лицо этой категории: обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией об ИСПДн; имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор. |
- |
+ |
|
31 |
ИНСД7 |
Программисты-разработчики прикладного программного обеспечения и лица, обеспечивающие его сопровождение в ИСПДн |
Лицо этой категории: обладает информацией об алгоритмах и программах обработки информации на ИСПДн; обладает возможностями внесения ошибок, не декларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения; может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн. |
- |
+ |
|
32 |
ИНСД8 |
Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт ТС в ИСПДн |
Лицо этой категории: обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения; может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн. |
- |
+ |
|
33 |
ИНСД9 |
Другие категории внутренних нарушителей в соответствии с оргштатной структурой ИСПДн |
|
- |
+ |
|
34 |
ИНСД10 |
Конструктивно встроенная програмнно-аппаратная закладка |
|
- |
- |
|
35 |
ИНСД11 |
Автономная програмнно-аппаратная закладка |
|
- |
- |
|
36 |
ИНСД12 |
Программные закладки |
Программы, фрагменты кода, инструкции, формирующие не декларированные возможности программного обеспечения. |
- |
+ |
|
37 |
ИНСД13 |
Вредоносные программы, распространяющиеся по сети |
К сетевым вирусам относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла. |
- |
+ |
|
38 |
ИНСД14 |
Другие вредоносные программы, предназначенные для осуществления НСД |
В данную категорию попадают: программы подбора и вскрытия паролей; программы, реализующие угрозы; программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн; программы-генераторы компьютерных вирусов; программы, демонстрирующие уязвимости средств защиты информации и др. |
- |
+ |
|
39 |
ИНСД15 |
Загрузочные вирусы |
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию в память и передает на нее (т.е. на вирус) управление. После этого начинают выполняться инструкции вируса. Основными действиями, выполняемыми этими вирусами, являются: уничтожение информации в секторах дискет и винчестера; исключение возможности загрузки операционной системы (компьютер "зависает"); искажение кода загрузчика; форматирование съемных носителей или логических дисков винчестера; закрытие доступа к COM- и LPT-портам; подергивания экрана; изменение метки диска или съемного носителя; создание псевдосбойных кластеров; порча файлов данных; перезагрузка компьютера; вывод на экран разнообразных сообщений; отключение периферийных устройств (например, клавиатуры); заполнение экрана посторонними символами или изображениями; погашение экрана и перевод в режим ожидания ввода с клавиатуры; шифрование секторов винчестера; выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры; уменьшение объема оперативной памяти; блокирование записи на диск; уничтожение таблицы разбиения (Disk Partition Table); блокирование доступа к винчестеру. Большинство загрузочных вирусов перезаписывают себя на флоппи-диски. |
- |
+ |
|
40 |
ИНСД16 |
Замещающие файловые вирусы |
Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать. |
- |
+ |
|
41 |
ИНСД17 |
Паразитические файловые вирусы |
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало, середину или конец файлов. Отдельно следует отметить довольно незначительную группу паразитических вирусов, не имеющих "точки входа" (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы "спать" внутри файла и проявить себя только при некоторых ограниченных условиях. |
- |
+ |
|
42 |
ИНСД18 |
Файловые компаньон-вирусы |
К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус. |
- |
+ |
|
43 |
ИНСД19 |
Файловые черви |
При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии. |
- |
+ |
|
44 |
ИНСД20 |
Link-вирусы |
Не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы. |
- |
+ |
|
45 |
ИНСД21 |
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ |
Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл. Получив управление, файловый вирус совершает следующие общие действия: проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена (в случае, если вирус является резидентным), ищет незараженные файлы в текущем и (или) корневом каталоге путем сканирования дерева каталогов логических дисков, а затем заражает обнаруженные файлы; выполняет дополнительные функции (если они есть): деструктивные действия, графические или звуковые эффекты и т.д. (дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий, в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.); возвращает управление основной программе (если она есть).
Паразитические вирусы при этом либо лечат файл, выполняют его, а затем снова заражают, либо восстанавливают программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). |
- |
+ |
|
46 |
ИНСД22 |
Макро-вирусы |
Макро-вирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями: 1) привязки программы на макроязыке к конкретному файлу; 2) копирования макропрограмм из одного файла в другой; 3) получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).
Большинство макро-вирусов активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой (иногда - полиморфный) макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда - зашифрованных), либо хранится в области переменных документа. |
- |
+ |
Разные источники могут приводить к реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик источников угроз и особенностей функционирования ИСПДн, источники угроз сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
8 |
Список "Источники НСД 1" |
ИНСД2, ИНСД3, ИНСД4, ИНСД5, ИНСД6 |
|
9 |
Список "Источники НСД 2" |
ИНСД2, ИНСД3, ИНСД4, ИНСД5, ИНСД6, ИНСД9 |
|
10 |
Список "Источники НСД 3" |
ИНСД7, ИНСД8, ИНСД9 |
|
11 |
Список "Источники НСД 4" |
ИНСД9 |
|
12 |
Список "Источники НСД 5" |
ИНСД12, ИНСД13, ИНСД14 |
|
13 |
Список "Источники НСД 6" |
ИНСД15, ИНСД16, ИНСД17, ИНСД18, ИНСД19, ИНСД20, ИНСД21 |
|
14 |
Список "Источники НСД 7" |
ИНСД16, ИНСД17, ИНСД18, ИНСД19, ИНСД20, ИНСД21, ИНСД22 |
Уязвимости ИСПДн
В таблице приведены наименования, условные обозначения, характеристики возможных уязвимостей ИСПДн, связанных с несанкционированным доступом. В таблице приведен полный перечень уязвимостей в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данная уязвимость существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данная уязвимость не может привести к реализации угрозы для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данной уязвимости. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данной уязвимости. При оценке актуальности угроз рассматриваются только те уязвимости, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Уязвимость |
Характеристика |
Меры приняты |
Применимость |
|
19 |
У0 |
Уязвимости микропрограмм, прошивок ПЗУ, ППЗУ (наличие в ИСПДн вредоносной программы) |
Уязвимости в микропрограммах могут представлять собой: фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации. |
+ |
- |
|
20 |
У1 |
Уязвимости драйверов аппаратных средств (наличие в ИСПДн вредоносной программы) |
|
+ |
- |
|
21 |
У2 |
Уязвимости в процессе инициализации ОС (наличие в ИСПДн вредоносной программы) |
Перехват паролей или идентификаторов, модификация программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. |
+ |
+ |
|
22 |
У3 |
Уязвимость операционной системы при незащищенном режиме работы процессора (наличие в ИСПДн вредоносной программы) |
|
+ |
- |
|
23 |
У4 |
Уязвимости в процессе функционирования ОС в привилегированном режиме (наличие в ИСПДн вредоносной программы) |
|
+ |
+ |
|
24 |
У5 |
Уязвимости прикладного ПО (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. |
+ |
+ |
|
25 |
У6 |
Уязвимости специального ПО (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. |
+ |
+ |
|
26 |
У7 |
Уязвимости ПО пользователя (наличие в ИСПДн вредоносной программы) |
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. |
+ |
+ |
|
27 |
У8 |
Уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки |
|
- |
- |
|
28 |
У9 |
Уязвимости на канальном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
29 |
У10 |
Уязвимости на сетевом уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
ARP: аутентификация на базе открытого текста (информация пересылается в незашифрованном виде) - возможность перехвата трафика пользователя злоумышленником; IGMP: отсутствие аутентификации сообщений об изменении параметров маршрута - зависание систем Win 9x/NT/2000. |
+ |
+ |
|
30 |
У11 |
Уязвимости на транспортном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
UDP: отсутствие механизма предотвращения перегрузок буфера - возможность реализации UDР шторма; в результате обмена пакетами происходит существенное снижение производительности сервера; RIP: отсутствие аутентификации управляющих сообщений об изменении маршрута - возможность перенаправления трафика через хост злоумышленника; TCP: отсутствие механизма проверки корректности заполнения служебных заголовков пакета - существенное снижение скорости обмена и даже полный разрыв произвольных соединений TCP. |
+ |
+ |
|
31 |
У12 |
Уязвимости на сеансовом уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS - сервера. |
+ |
+ |
|
32 |
У13 |
Уязвимости на презентационном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS-сервера. |
+ |
+ |
|
33 |
У14 |
Уязвимости на прикладном уровне связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных |
SNMP: отсутствие поддержки аутентификации заголовков сообщений - возможность переполнения пропускной способности сети; SMTP: отсутствие поддержки аутентификации заголовков сообщений - возможность подделывания сообщений эл. почты, а также адреса отправителя сообщения; FTP: аутентификация на базе открытого текста (пароли пересылаются в незашифрованном виде) - возможность перехвата данных учетной записи (имен зарегистрированных пользователей, паролей); FTP: доступ по умолчанию - получение удаленного доступа к хостам; FTP: наличие двух открытых портов - получение удаленного доступа к хостам; DNS: отсутствие средств проверки аутентификации полученных данных от источника - фальсификация ответа DNS-сервера. |
+ |
+ |
|
34 |
У15 |
Уязвимости, вызванные недостатками организации ТЗИ от НСД |
|
- |
+ |
|
35 |
У16 |
Уязвимости СЗИ |
|
- |
- |
|
36 |
У17 |
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе и отказов этих средств |
|
- |
+ |
Разные уязвимости могут приводить к реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик уязвимостей и особенностей функционирования ИСПДн, уязвимости сгруппированы в списки, которые представлены в таблице. Уязвимости, входящие в один и тот же список, могут быть использованы для реализации схожих угроз.
|
N п/п |
Название списка |
Элементы списка |
|
8 |
Список "Уязвимости 1" |
У2, У4 |
|
9 |
Список "Уязвимости 2" |
У2, У4, У5, У6, У7 |
|
10 |
Список "Уязвимости 3" |
У5, У6, У7 |
|
11 |
Список "Уязвимости 4" |
У9, У10, У11, У12, У13, У14 |
|
12 |
Список "Уязвимости 5" |
У15 |
|
13 |
Список "Уязвимости 6" |
У15, У17 |
|
14 |
Список "Уязвимости 7" |
У17 |
Способы реализации угроз
В таблице приведены наименования, условные обозначения, характеристики способов реализации угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень способов реализации угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный способ реализации угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный способ реализации угроз не может привести к реализации угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данного способа реализации угроз. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данного способа реализации угроз. При оценке актуальности угроз рассматриваются только те способы реализации угроз, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Способ реализации |
Характеристика |
Меры приняты |
Применимость |
|
42 |
Р0 |
Обход СЗИ используя существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
- |
|
43 |
Р1 |
Деструктивное воздействие на СЗИ, с использованием существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
- |
|
44 |
Р2 |
Вскрытие или перехват пароля, с использованием существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
+ |
|
45 |
Р3 |
Перехват информации, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
46 |
Р4 |
Модификация передаваемых данных, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
47 |
Р5 |
Перезагрузка ресурсов (отказ в обслуживании) используя уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
48 |
Р6 |
Внедрение вредоносных программ, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
49 |
Р7 |
Удаленный несанкционированный доступ в систему, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
50 |
Р8 |
Разглашение и утечка информации, на незащищенные рабочие места вычислительной сети, с использованием уязвимости протоколов сетевого взаимодействия и каналов передачи данных |
|
+ |
+ |
|
51 |
Р9 |
Использование остаточной, не учтенной информации (сбор "мусора") используя существующие уязвимости программно-аппаратного обеспечения ИСПДн |
|
- |
+ |
|
52 |
Р10 |
Внедрение новых уязвимостей в ИСПДн на этапе проектирования и разработки ИСПДн |
|
- |
- |
|
53 |
Р11 |
Использование нештатного программно-аппаратного обеспечения внедренного в ИСПДн на этапе эксплуатации |
|
- |
+ |
|
54 |
Р12 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем обмена программами и данными, содержащими выполняемые модули (скрипты, макросы и т.д.) |
|
+ |
+ |
|
55 |
Р13 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем изменения конфигурации программно-аппаратного обеспечения |
|
+ |
+ |
|
56 |
Р14 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем модификации ПО и данных |
|
+ |
+ |
|
57 |
Р15 |
Внедрение новых уязвимостей в ИСПДн на этапе эксплуатации с использованием штатных средств путем разработки вредоносных программ |
|
+ |
- |
|
58 |
Р16 |
Публикация и разглашение защищаемых сведений с использованием штатных средств на этапе эксплуатации |
|
+ |
+ |
|
59 |
Р17 |
Внедрение новых уязвимостей в ИСПДн на этапе сопровождения ИСПДн |
|
- |
- |
|
60 |
Р18 |
Внедрение новых уязвимостей в ИСПДн на этапе утилизации элементов АС |
|
- |
- |
|
61 |
Р19 |
Методы сокрытия в наименьших значащих битах |
Основаны на записи сообщения в наименьшие значащие биты исходного сигнала. В качестве контейнера используется, как правило, несжатый аудио-сигнал. Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям. Используется только для определенных форматов аудио-файлов. Достаточно высокая емкость контейнера (до 25 %). |
- |
- |
|
62 |
Р20 |
Методы сокрытия на основе распределения по спектру |
Основаны на генерации псевдослучайного шума, являющегося функцией внедряемого сообщения и подмешивании полученного шума к основному сигналу-контейнеру в качестве аддитивной составляющей. Кодирование потоков информации путем рассеяния кодированных данных по спектру частот. Низкий коэффициент использования контейнера. Значительные вычислительные затраты. Сравнительно высокая скрытность сообщения. |
- |
- |
|
63 |
Р21 |
Методы сокрытия на основе использования эхо-сигнала |
Основаны на использовании в качестве шумоподобного сигнала самого аудио-сигнала, задержанного на различные периоды времени в зависимости от внедряемого сообщения ("дозвоночного эха"). Низкий коэффициент использования контейнера. Значительные вычислительные затраты. Сравнительно высокая скрытность сообщения. |
- |
- |
|
64 |
Р22 |
Методы сокрытия в фазе сигнала |
Основаны на факте нечувствительности уха человека к абсолютному значению фазы гармоник. Аудио-сигнал разбивается на последовательность сегментов, сообщение встраивается путем модификации фазы первого сегмента. Малый коэффициент использования контейнера. Обладает значительно более высокой скрытностью, чем методы сокрытия в НЗБ. |
- |
- |
|
65 |
Р23 |
Метод сокрытия на основе пробелов |
Основан на вставке пробелов в конце строчек, после знаков препинания, между словами при выравнивании длины строк. Метод чувствителен к переносу текста из одного формата в другой. Возможна потеря сообщения. Невысокая скрытность. Достаточно большая пропускная способность. |
- |
- |
|
66 |
Р24 |
Метод сокрытия на основе синтаксических особенностей текста |
Основан на том, что правила пунктуации, допускают неоднозначности при расстановке знаков препинания. Чередования причастных и деепричастных оборотов. Очень низкая пропускная способность. Сложность детектирования сообщения. Существует потенциальная возможность подобрать такой метод, при котором потребуются весьма сложные процедуры для раскрытия сообщения. |
- |
- |
|
67 |
Р25 |
Метод сокрытия на основе синонимов |
Основан на вставке информации в текст, при помощи чередования слов из какой-либо группы синонимов. Трудно применим к русскому языку в связи с большим разнообразием оттенков в разных синонимах. Один из наиболее перспективных методов. Обладает сравнительно высокой скрытностью сообщения. |
- |
- |
|
68 |
Р26 |
Метод сокрытия на основе использования ошибок |
Основан на маскировке информационных битов под естественные ошибки, опечатки, нарушения правил написания сочетаний гласных и согласных, замене кириллицы на аналогичные по внешнему виду латинские буквы и др. Невысокая пропускная способность. Быстро вскрывается при статистическом анализе. Весьма прост в применении. Высокая скрытность при анализе человеком. |
- |
- |
|
69 |
Р27 |
Метод сокрытия на основе генерации квазитекста |
Основан на генерации текстового контейнера с использованием набора правил построения предложений. Используется симметричная криптография. Невысокая пропускная способность. Бессмысленность созданного текста. Скрытность определяется методов шифрования и, как правило, весьма высока. |
- |
- |
|
70 |
Р28 |
Метод сокрытия на основе использования особенностей шрифта |
Основан на вставке информации за счет изменения типа шрифта и размера букв, а также на возможности встраивания информации в блоки с неизвестными для браузера идентификаторами. Легко выявляется при преобразовании масштаба документа, при статистическом стегоноанализе. Высокий коэффициент использования контейнера. |
- |
- |
|
71 |
Р29 |
Методы сокрытия на основе использования кода документа и файла |
Основаны на размещении информации в зарезервированных и неиспользуемых полях переменной длины. Низкая скрытность при известном формате файла. Просты в применении. |
- |
- |
|
72 |
Р30 |
Методы сокрытия на основе использования жаргона |
Основаны на изменении значений слов. Низкая пропускная способность. Узкоспециализирован. Низкая скрытность. Просты в применении. |
- |
- |
|
73 |
Р31 |
Методы сокрытия на основе использования чередования длины слов |
Основаны на генерации текста-контейнера с формированием слов определенной длины по известному правилу кодирования. Сложность формирования контейнера и сообщения. Достаточно высокая скрытность при анализе человеком. |
- |
- |
|
74 |
Р32 |
Методы сокрытия на основе использования первых букв |
Основаны на внедрении сообщения в первые буквы слов текста с подбором слов. Сложность составления сообщения. Низкая скрытность сообщения. Дает большую свободу выбора оператору, придумывающему сообщение. |
- |
- |
|
75 |
Р33 |
Методы сокрытия в наименьших значащих битах |
Основаны на записи сообщения в наименьшие значащие биты исходного изображения. Невысокая скрытность передачи сообщения. Низкая устойчивость к искажениям. Достаточно высокая емкость контейнера (до 25 %). |
- |
- |
|
76 |
Р34 |
Метод сокрытия на основе модификации индексного формата представления |
Основан на редукции (замены) цветовой палитры и упорядочивании цветов в пикселях с соседними номерами. Применяется преимущественно к сжатым изображениям. Невысокая скрытность передачи сообщения. Сравнительно высокая емкость контейнера. |
- |
- |
|
77 |
Р35 |
Метод сокрытия на основе использования автокорреляционной функции |
Основан на поиске с применением автокорреляционной функции областей, содержащих сходные данные. Сложность расчетов. Устойчивость к большинству нелинейных преобразований контейнера. |
- |
- |
|
78 |
Р36 |
Метод сокрытия на основе использования нелинейной модуляции встраиваемого сообщения |
Основан на модуляции псевдослучайного сигнала сигналом, содержащим скрываемую информацию. Низкая точность детектирования. Искажения. Достаточно высокая скрытность сообщения. |
- |
- |
|
79 |
Р37 |
Методы сокрытия на основе использования знаковой модуляции встраиваемого сообщения |
Основаны на модуляции псевдослучайного сигнала биполярным сигналом, содержащим скрываемую информацию. Низкая точность детектирования. Искажения. Достаточно высокая скрытность сообщения. |
- |
- |
|
80 |
Р38 |
Метод сокрытия на основе вейвлет-преобразования |
Основан на особенностях вейвлет-преобразований. Сложность расчетов. Высокая скрытность. |
- |
- |
|
81 |
Р39 |
Методы сокрытия на основе использования дискретного косинусного преобразования |
Основаны на особенностях дискретного косинусного преобразования. Сложность расчетов. Высокая скрытность. |
- |
- |
|
82 |
Р40 |
Нетрадиционные информационные каналы |
В нетрадиционных информационных каналах, основанных на манипуляции различных характеристик ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний. Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн: на аппаратном уровне; на уровне микрокодов и драйверов устройств; на уровне операционной системы; на уровне прикладного программного обеспечения; на уровне функционирования каналов передачи данных и линий связи. Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п. Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала. Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД. |
- |
- |
Разные способы реализации могут быть использованы для реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик способов реализации и особенностей функционирования ИСПДн, способы реализации сгруппированы в списки, которые представлены в таблице. Способы реализации, входящие в один и тот же список, могут быть использованы для реализации схожих угроз.
|
N п/п |
Название списка |
Элементы списка |
|
6 |
Список "Реализации 1" |
Р2 |
|
7 |
Список "Реализации 2" |
Р2, Р11 |
|
8 |
Список "Реализации 3" |
Р3, Р4, Р5, Р6, Р7, Р12, Р13, Р14 |
|
9 |
Список "Реализации 4" |
Р8, Р16 |
|
10 |
Список "Реализации 5" |
Р9 |
Объекты воздействия
В таблице приведены наименования, условные обозначения, характеристики объектов воздействия угроз, связанных с несанкционированным доступом. В таблице приведен полный перечень объектов воздействия в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный объект воздействия существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный объект воздействия отсутствует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите данного объекта воздействия. В столбце "Меры" стоит знак "-", если не приняты меры по защите данного объекта воздействия. При оценке актуальности угроз рассматриваются только те объекты воздействия, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Объект воздействия |
Характеристика |
Меры приняты |
Применимость |
|
33 |
О0 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на гибких магнитных дисках |
|
- |
- |
|
34 |
О1 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на сменных жестких магнитных дисках |
|
- |
+ |
|
35 |
О2 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на накопителях ZIP |
|
- |
- |
|
36 |
О3 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на накопителях электронной памяти типа флэш |
|
- |
+ |
|
37 |
О4 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на аудио-, видеокассетах, магнитных лентах |
|
- |
- |
|
38 |
О5 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на оптических компакт-дисках |
|
- |
+ |
|
39 |
О6 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в сотовых телефонах, карманных компьютерах, цифровых фотоаппаратов, mp3-проигрывателях |
|
- |
+ |
|
40 |
О7 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в цифровых видеокамерах |
|
- |
+ |
|
41 |
О8 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в другие устройствах |
|
- |
+ |
|
42 |
О9 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на встроенных жестких магнитных дисках |
|
- |
+ |
|
43 |
О10 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на постоянных запоминающих устройствах |
|
- |
+ |
|
44 |
О11 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети на встроенных перепрограммируемых (перезаписываемых) запоминающих устройствах |
|
- |
+ |
|
45 |
О12 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в оперативной памяти |
|
- |
+ |
|
46 |
О13 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в кэш-памяти, буферах ввода-вывода |
|
- |
+ |
|
47 |
О14 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в видеопамяти |
|
- |
+ |
|
48 |
О15 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в оперативной памяти подключаемых устройств |
|
- |
+ |
|
49 |
О16 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода Клавиатуры |
|
- |
+ |
|
50 |
О17 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода манипулятора мыши |
|
- |
+ |
|
51 |
О18 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода сканера |
|
- |
- |
|
52 |
О19 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода дисплея и монитора |
|
- |
+ |
|
53 |
О20 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода принтера |
|
- |
+ |
|
54 |
О21 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода плоттера |
|
- |
- |
|
55 |
О22 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода приводов магнитных и оптических дисков |
|
- |
+ |
|
56 |
О23 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода для подключения периферийных устройств |
|
- |
+ |
|
57 |
О24 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода аппаратуры для передачи данных |
|
- |
+ |
|
58 |
О25 |
Информация, обрабатываемая на АРМ (узле) вычислительной сети в портах ввода/вывода других устройств используемых для ввода/вывода информации |
|
- |
+ |
|
59 |
О26 |
Информация на канальном уровне |
|
- |
+ |
|
60 |
О27 |
Информация на сетевом уровне |
|
- |
+ |
|
61 |
О28 |
Информация на транспортном уровне |
|
- |
+ |
|
62 |
О29 |
Информация на сеансовом уровне |
|
- |
+ |
|
63 |
О30 |
Информация на презентационном уровне |
|
- |
+ |
|
64 |
О31 |
Информация на прикладном уровне |
|
- |
+ |
Разные объекты воздействия могут быть подвержены схожим угрозам, связанным с несанкционированным доступом. В результате анализа характеристик объектов воздействия и особенностей функционирования ИСПДн, объекты воздействия сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
2 |
Список "Объекты 1" |
О1, О3, О5, О6, О7, О8, О9, О10, О11, О12, О13, О14, О15, О16, О17, О19, О20, О22, О23, О24, О25, О26, О27, О28, О29, О30, О31 |
Деструктивные действия
В таблице приведены наименования, условные обозначения, характеристики деструктивных действий, связанных с несанкционированным доступом. В таблице приведен полный перечень деструктивных действий в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данное деструктивное действие может быть осуществлено в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данное деструктивное действие не может быть осуществлено в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите от данного деструктивного действия. В столбце "Меры" стоит знак "-", если не приняты меры по защите от данного деструктивного действия. При оценке актуальности угроз рассматриваются только те деструктивные действия, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Деструктивное действие |
Характеристика |
Меры приняты |
Применимость |
|
32 |
Д0 |
Утечка информации обрабатываемой на объекте |
|
- |
+ |
|
33 |
Д1 |
Утечка информации о составе и конфигурации ПАО |
|
- |
+ |
|
34 |
Д2 |
Утечка информации о составе и конфигурации СЗИ |
|
- |
+ |
|
35 |
Д3 |
Несанкционированное копирование информации, обрабатываемой на объекте |
|
- |
+ |
|
36 |
Д4 |
Несанкционированное копирование информации о составе и конфигурации ПАО |
|
- |
+ |
|
37 |
Д5 |
Несанкционированное копирование информации о составе и конфигурации СЗИ |
|
- |
+ |
|
38 |
Д6 |
Перехват информации в каналах передачи данных обрабатываемой на объекте |
|
- |
+ |
|
39 |
Д7 |
Перехват информации в каналах передачи данных о составе и конфигурации ПАО |
|
- |
+ |
|
40 |
Д8 |
Перехват информации в каналах передачи данных о составе и конфигурации СЗИ |
|
- |
+ |
|
41 |
Д9 |
Разглашение, (публикация) защищаемой информации обрабатываемой на объекте |
|
- |
+ |
|
42 |
Д10 |
Разглашение, (публикация) защищаемой информации о составе и конфигурации ПАО |
|
- |
+ |
|
43 |
Д11 |
Разглашение, (публикация) защищаемой информации о составе и конфигурации СЗИ |
|
- |
+ |
|
44 |
Д12 |
Нарушение целостности (уничтожение, модификация, дезинформация) ПО и данных пользователя |
|
- |
+ |
|
45 |
Д13 |
Нарушение целостности (уничтожение, модификация, дезинформация) микропрограмм, данных и драйверов устройств вычислительной системы |
|
- |
+ |
|
46 |
Д14 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ, данных и драйверов устройств обеспечивающих загрузку (инициализацию) ОС и СЗИ |
|
- |
- |
|
47 |
Д15 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных (дескрипторы, описатели, структуры, таблицы и т. д.) ОС |
|
- |
+ |
|
48 |
Д16 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных прикладного ПО |
|
- |
+ |
|
49 |
Д17 |
Нарушение целостности (уничтожение, модификация, дезинформация) программ и данных специального ПО |
|
- |
+ |
|
50 |
Д18 |
Нарушение целостности (уничтожение, модификация, дезинформация) промежуточных (оперативных) значений программ и данных в процессе их обработки средствами и устройствами вычислительной техники |
|
- |
+ |
|
51 |
Д19 |
Нарушение целостности (уничтожение, модификация, дезинформация) путем внедрения вредоносной программы |
|
- |
+ |
|
52 |
Д20 |
Нарушение целостности (уничтожение, модификация, дезинформация) путем внедрения программно-аппаратной закладки |
|
- |
- |
|
53 |
Д21 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления конфигурацией сетей |
|
- |
- |
|
54 |
Д22 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления адресами и маршрутизацией передачи данных в сети |
|
- |
- |
|
55 |
Д23 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средствах управления функциональным контролем сети |
|
- |
- |
|
56 |
Д24 |
Нарушение целостности (уничтожение, модификация, дезинформация) технологической сетевой информации в средства управления безопасностью информации в сети |
|
- |
- |
|
57 |
Д25 |
Нарушение целостности (уничтожение, модификация, дезинформация) СЗИ |
|
- |
+ |
|
58 |
Д26 |
Нарушение функционирования и отказы средств обработки информации |
|
- |
+ |
|
59 |
Д27 |
Нарушение и отказы функционирования средств ввода/вывода информации |
|
- |
+ |
|
60 |
Д28 |
Нарушение и отказы функционирования средств хранения информации |
|
- |
+ |
|
61 |
Д29 |
Нарушение и отказы функционирования аппаратуры и каналов передачи данных |
|
- |
+ |
|
62 |
Д30 |
Нарушение и отказы функционирования СЗИ |
|
- |
- |
Разные деструктивные действия могут быть результатом реализации схожих угроз, связанных с несанкционированным доступом. В результате анализа характеристик деструктивных действий и особенностей функционирования ИСПДн, деструктивные действия сгруппированы в списки, которые представлены в таблице.
|
N п/п |
Название списка |
Элементы списка |
|
3 |
Список "Действия 1" |
Д0, Д1, Д2, Д3, Д4, Д5, Д6, Д7, Д8, Д9, Д10, Д11 |
|
4 |
Список "Действия 2" |
Д0, Д1, Д2, Д3, Д4, Д5, Д6, Д7, Д8, Д9, Д10, Д11, Д12, Д13, Д15, Д16, Д17, Д18, Д19, Д25, Д26, Д27, Д28, Д29 |
Источники угроз, связанных с техническими каналами утечки
В таблице приведены наименования, условные обозначения, характеристики источников угроз, связанных с утечкой по техническим каналам. В таблице приведен полный перечень источников угроз в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный источник угроз существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный источник угроз не может являться источником угроз для рассматриваемой системы в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по нейтрализации данного источника угроз. В столбце "Меры" стоит знак "-", если не приняты меры по нейтрализации данного источника угроз. При оценке актуальности угроз рассматриваются только те источники, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Источник угрозы |
Характеристика |
Меры приняты |
Применимость |
|
5 |
ИТКУИ0 |
Физические лица, не имеющие доступа к ИСПД |
|
- |
- |
|
6 |
ИТКУИ1 |
Зарубежные спец службы |
|
- |
- |
|
7 |
ИТКУИ2 |
Зарубежные организации |
|
- |
- |
|
8 |
ИТКУИ3 |
Криминальные группировки |
|
- |
- |
Разные источники могут приводить к реализации схожих угроз, связанных с утечкой по техническим каналам. В результате анализа характеристик источников угроз и особенностей функционирования ИСПДн, источники угроз сгруппированы в списки, которые представлены в таблице.
Носители ПДн
В таблице приведены наименования, условные обозначения, характеристики носителей ПДн. В таблице приведен полный перечень носителей ПДн в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный носитель ПДн существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный носитель ПДн не существует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по защите данного носителя ПДн. В столбце "Меры" стоит знак "-", если не приняты меры по защите данного носителя ПДн. При оценке актуальности угроз рассматриваются только те носители ПДн, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Носитель ПДн |
Характеристика |
Меры приняты |
Применимость |
|
4 |
Н0 |
Пользователь ИСПД, осуществляющий голосовой ввод ПД |
|
- |
- |
|
5 |
Н1 |
Акустическая система ИСПД воспроизводящая ПД |
|
- |
- |
|
6 |
Н2 |
ВТСС и ТС ИСПД создающие физические поля, в которых информация находит свое отражение |
|
- |
- |
Разные носители ПДн могут быть объектом схожих угроз, связанных с утечкой по техническим каналам. В результате анализа характеристик носителей ПДн и особенностей функционирования ИСПДн, носители ПДн сгруппированы в списки, которые представлены в таблице.
Технические каналы утечки
В таблице приведены наименования, условные обозначения, характеристики технических каналов утечки информации. В таблице приведен полный перечень технических каналов в соответствии с Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России, в столбце "Применимость" стоит знак "+", если данный канал утечки существует или может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Применимость" стоит знак "-", если данный канал утечки не существует и не может появиться в рассматриваемой системе в связи с особенностями технологического процесса обработки информации. В столбце "Меры" стоит знак "+", если приняты меры по устранению данного канала утечки. В столбце "Меры" стоит знак "-", если не приняты меры по устранению данного канала утечки. При оценке актуальности угроз рассматриваются только те каналы утечки, у которых в столбце "Применимость" стоит знак "+".
|
N п/п |
Обозначение |
Канал утечки |
Характеристика |
Меры приняты |
Применимость |
|
16 |
К0 |
Акустооптика |
Оптические излучения, возникающие посредством преобразования информативного сигнала из акустического в оптический за счет акустооптических модуляторов на базе волоконно-оптических линий (светодиодов), находящихся в акустическом поле речевого сигнала ("оптические микрофоны"). |
- |
- |
|
17 |
К1 |
Направленные микрофоны (акустика) |
Стационарные, портативные носимые, портативные возимые направленные микрофоны с дальностью перехвата до 200 м |
- |
- |
|
18 |
К2 |
Ненаправленные микрофоны (акустика) |
Портативные носимые, портативные возимые ненаправленные микрофоны с дальностью перехвата до 10 м. |
- |
- |
|
19 |
К3 |
Вибродатчики (виброакустика) |
Автономные автоматические (совместно со средствами приема ретранслируемого сигнала) вибродатчики с дальностью действия до 10 м (на поверхностях 150 см и более). |
- |
- |
|
20 |
К4 |
Лазерные микрофоны (виброакустика) |
Стационарные, портативные носимые, портативные возимые лазерные микрофоны с дальностью перехвата до 500 м. |
- |
- |
|
21 |
К5 |
Средства съема электрических сигналов с гальваническим подключением (акустоэлектрика) |
Стационарные, портативные возимые средства съема электрических сигналов с гальваническим подключением с дальностью перехвата до 300 м. |
- |
- |
|
22 |
К6 |
Приемники электромагнитного излучения |
Стационарные, портативные возимые приемники электромагнитного излучения с дальностью перехвата до 1000 м. |
- |
- |
|
23 |
К7 |
Оптический канал доступный из-за пределов ИСПДн |
Для наблюдения за объектами на значительном расстоянии (от нескольких сот метров до нескольких километров) используются стационарные и портативные возимые средства: крупногабаритные устройства с телескопическими объективами (телескопы), обладающие высоким коэффициентом усиления, сопряженные с различного рода устройствами регистрации изображений; телевизионные камеры, в том числе работающие при низких уровнях освещённости объекта наблюдения и обладающие высоким коэффициентом усиления и устойчивостью к засветкам от попавших в поле зрения ярких источников света; приборы ночного видения пассивного или активного (с подсветкой) типа. |
+ |
- |
|
24 |
К8 |
Оптический канал доступный вблизи ИСПДн |
К портативным средствам наблюдения (регистрации), используемым на дальностях до сотен метров относятся: портативные аналоговые и цифровые фото- и видеокамеры; цифровые видеокамеры, встроенные в сотовые телефоны; миниатюрные видеокамеры с Пинхоул-объективами. Перехват может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них, а также из транспортных средств, осуществляющих движение в близи служебных помещений или при их парковке рядом с этими помещениями. |
+ |
- |
|
25 |
К9 |
Оптический канал автономный |
В качестве автономной автоматической аппаратуры используются миниатюрные оптические приборы с возможностью перехвата (просмотра) ПДн на расстояниях десятков метров. |
+ |
- |
|
26 |
К10 |
ПЭМИ информативных сигналов от технических средств и линий передачи информации |
Побочные электромагнитные излучения информативных сигналов от технических средств и линий передачи информации. Перехват сигналов ПЭМИ может осуществляться: программно-аппаратными комплексами перехвата; портативными сканерными приёмниками; цифровыми анализаторами спектра, управляемыми компьютером со специальным программным обеспечением; селективными микровольтметрами. Дальность перехвата до 1000 м. |
- |
- |
|
27 |
К11 |
Наводки информативного сигнала |
Наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы служебных помещений. Каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств ИСПДн и ВТСС и посторонних проводников (в том числе цепей электропитания и заземления). Наводки электромагнитных излучений технических средств ИСПДн возникают при излучении элементами технических средств ИСПДн информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств ИСПДн, линий ВТСС и посторонних проводников. В результате на случайных антеннах (цепях ВТСС или посторонних проводниках) наводится информативный сигнал. Прохождение информативных сигналов в цепи электропитания возможно при наличии емкостной, индуктивной или гальванической связей источника информативных сигналов в составе технических средств ИСПДн и цепей питания. Информативный сигнал может проникнуть в цепи электропитания также в результате того, что среднее значение потребляемого тока в оконечных каскадах усилителей в большей или меньшей степени зависит от амплитуды информативного сигнала, что создает неравномерную нагрузку на выпрямитель и приводит к изменению потребляемого тока по закону изменения информативного сигнала. Прохождение информативных сигналов в цепи заземления обусловлено наличием емкостной, индуктивной или гальванической связи источника информативных сигналов в составе технических средств ИСПДн и цепей заземления. При этом кроме заземляющих проводников, служащих для непосредственного соединения технических средств ИСПДн с контуром заземления, гальваническую связь с данным контуром могут иметь различные проводники, выходящие за пределы контролируемой зоны (нулевой провод сети электропитания, экраны соединительных кабелей, металлические трубы систем отопления и водоснабжения). Все эти проводники совместно с заземляющим устройством образуют разветвленную систему заземления, на которую могут наводиться информативные сигналы. Для съема информации с проводных линий могут использоваться: средства съёма сигналов, содержащих защищаемую информацию, с цепей технических средств ИСПДн и ВТСС, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники); средства съёма наведённых информативных сигналов с цепей электропитания; средства съёма наведённых информативных сигналов с шин заземления; средства съёма наведённых информативных сигналов с проводящих инженерных коммуникаций. Дальность перехвата токосъемниками составляет до 300 м. |
- |
- |
|
28 |
К12 |
Паразитные и радио- излучения |
Радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств ИСПДн, или при наличии паразитной генерации в узлах (элементах) технических средств. Перехват сигналов может осуществляться: программно-аппаратными комплексами перехвата; портативными сканерными приёмниками; цифровыми анализаторами спектра, управляемыми компьютером со специальным программным обеспечением; селективными микровольтметрами. Дальность перехвата составляет до 1000 м. |
- |
- |
|
29 |
К13 |
Параметрические каналы утечки информации |
Радиоизлучения, формируемые в результате высокочастотного облучения технических средств ИСПДн, в которых проводится обработка информативных сигналов. Параметрические каналы утечки информации, формируются в результате высокочастотного облучения технических средств ИСПДн, в которых проводится обработка ПДн, и приема переизлученного сигнала средствами, аналогичными средствам перехвата ПЭМИ. При съеме информации по параметрическому каналу для исключения взаимного влияния облучающего и переизлученного сигналов используется временная или частотная развязка. Дальность перехвата составляет до 1000 м. |
- |
- |
|
30 |
К14 |
Волоконно-оптическая система передачи данных |
Для волоконно-оптической системы передачи данных угрозой утечки информации является утечка оптического излучения, содержащего защищаемую информацию, с боковой поверхности оптического волокна за счет: физического процесса распространения оптического излучения с поверхности оптического волокна при его возбуждении внешними источниками излучения; релеевского, молекулярного и Ми-рассеяния, вызванных флюктуациями оптической плотности материалов; особенностей технологии изготовления оптического кабеля (на разъемных и не разъемных соединениях, на продольных изгибах, вызванных при изготовлении и прокладке оптического кабеля). |
- |
- |
Списки актуальных угроз
Угрозы скомпонованы во множества для краткости представления. Каждая угроза, связанная с несанкционированным доступом, представлена в виде упорядоченной пятерки: "источник угрозы, уязвимость, способ реализации, объект воздействия, деструктивное действие". Каждая угроза, связанная с утечкой информации по техническим каналам, представлена в виде упорядоченной тройки "источник угрозы, носитель ПДн, канал утечки". По результатам обследования ИСПДн определено наличие мер и предпосылок для возможных угроз.
Меры для нейтрализации угрозы считаются принятыми и достаточными, если они позволяют нейтрализовать все компоненты угрозы. Меры считаются принятыми, но недостаточными, если нейтрализуются не все компоненты угрозы. Меры считаются не принятыми, если они не позволяют нейтрализовать ни один компонент угрозы. Решение о наличии мер для нейтрализации каждой угрозы принимается на основе обследования ИСПДн.
Существование предпосылок для угроз определяется экспертом с учетом особенностей архитектуры и функционирования ИСПДн.
Вероятность угрозы определяется по таблице:
|
Предпосылки |
Вероятность угрозы/Меры |
||
|
Меры не приняты |
Меры недостаточны |
Меры достаточны |
|
|
Есть предпосылки |
Высокая вероятность |
Средняя вероятность |
Низкая вероятность |
|
Нет предпосылок |
Маловероятно |
Маловероятно |
Маловероятно |
По вероятности для угрозы определяется коэффициент Y1.
Далее, для каждой угрозы в зависимости от вероятности и исходного уровня защищенности определяется возможность ее реализации - коэффициент Y = (Y1+Y2)/20.
Опасность угроз зависит от класса ИСПДн и уже установлена в начале раздела.
Актуальность угроз определяется по возможности и опасности угрозы.
|
N п/п |
Множество угроз |
Предпосылки |
Меры |
Коэффициент исходной защищенности |
Коэффициент вероятности |
Вероятность |
Коэффициент реализуемости угрозы |
Возможность |
Опасность |
Актуальность |
|
29 |
Источники НСД 1, Уязвимости 6, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
30 |
Источники НСД 1, Уязвимости 6, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
31 |
Источники НСД 3, У15, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
32 |
Источники НСД 3, У15, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
33 |
ИНСД9, У17, Реализации 2, Объекты 1, Действия 2 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
34 |
ИНСД9, У17, Р9, Объекты 1, Действия 1 |
Есть |
Не приняты |
5 |
10 |
Высокая |
0,75 |
Высокая |
Низкая |
Да |
|
35 |
Источники НСД 2, Уязвимости 4, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
36 |
Источники НСД 2, Уязвимости 4, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
37 |
Источники НСД 5, Уязвимости 2, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
38 |
Источники НСД 5, Уязвимости 2, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
39 |
Источники НСД 6, Уязвимости 1, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
40 |
Источники НСД 6, Уязвимости 1, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
41 |
Источники НСД 7, Уязвимости 3, Реализации 3, Объекты 1, Действия 2 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
42 |
Источники НСД 7, Уязвимости 3, Реализации 4, Объекты 1, Действия 1 |
Есть |
Достаточны |
5 |
2 |
Низкая |
0,35 |
Средняя |
Низкая |
Нет |
|
43 |
Источники НСД 2, Уязвимости 4, Реализации 2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
44 |
Источники НСД 2, Уязвимости 4, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
45 |
Источники НСД 1, Уязвимости 6, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
46 |
Источники НСД 1, Уязвимости 6, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
47 |
Источники НСД 3, У15, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
48 |
Источники НСД 3, У15, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
49 |
ИНСД9, У17, Реализации 3, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
50 |
ИНСД9, У17, Реализации 4, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
51 |
Источники НСД 5, Уязвимости 2, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
52 |
Источники НСД 5, Уязвимости 2, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
53 |
Источники НСД 6, Уязвимости 1, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
54 |
Источники НСД 6, Уязвимости 1, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
55 |
Источники НСД 7, Уязвимости 3, Р2, Объекты 1, Действия 2 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
|
56 |
Источники НСД 7, Уязвимости 3, Р9, Объекты 1, Действия 1 |
Есть |
Недостаточны |
5 |
5 |
Средняя |
0,50 |
Средняя |
Низкая |
Нет |
Экспертная комиссия:
|
Председатель комиссии: |
|
/ / |
|
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
Члены комиссии: |
|
|
|
|
|
|
/ / |
|
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
|
|
/ / |
|
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
|
|
/ / |
|
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
|
/ / |
||
|
|
(подпись) |
(Фамилия, Имя, Отчество) |
|
|
|
|
|
|
ПРИЛОЖЕНИЕ N 3
УТВЕРЖДЕНА
приказом Минтранса России
от _______________N_____
Отраслевая модель угроз безопасности персональных данных, актуальных при их обработке в информационных системах, эксплуатируемых Министерством транспорта Российской Федерации при осуществлении установленных видов деятельности
Москва, 2019 г.
Введение
В соответствии с пунктом 5 статьи 19 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, в пределах своих полномочий принимают нормативные документы, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.
Информационные системы отрасли (далее - ИС) представляют собой государственные ИС, в которых должна обеспечиваться конфиденциальность, целостность и доступность обрабатываемой информации.
Настоящий документ предназначен для построения систем защиты ИС персональных данных в транспортной отрасли и при осуществлении взаимодействия с субъектами транспортной инфраструктуры и перевозчиками.
В ходе данной работы были определены типовые для ИС отрасли параметры угроз:
- источники угроз;
- уязвимости ИС;
- объекты воздействий;
- способы реализации угроз;
- деструктивные воздействия на защищаемую информацию.
Целевой аудиторией настоящего документа являются разработчики подсистемы обеспечения информационной безопасности систем Минтранса России и подведомственных ему организаций.
Перечень сокращений
АРМ - Автоматизированное рабочее место
АС - Автоматизированная система
АТС - Автоматизированная станция
БД - База данных
ВИ - Видовая информация
ВМ - Виртуальная машина
ВТСС - Вспомогательные технические средства и системы
ГВБФ - Государственные внебюджетные фонды
ДВ - Деструктивное воздействие
ИК - Инфракрасные системы
ИО - Индекс ответов
ИОО - Информационно опасные объекты
ИС - Информационная система
ИСОП - Информационная система общего пользования
ИСПДн - Информационная система персональных данных
ИТ - Информационные технологии
ИТС - Информационно-телекоммуникационная система
КЗ - Контролируемая зона
КПД - Каналы передачи данных
КСИИ - Ключевые системы информационной инфраструктуры
ЛВС - Локальная вычислительная сеть
НГМД - Накопитель на гибком магнитном диске
НДВ - Недекларированные возможности
НСД - Несанкционированный доступ
НСИ - Нормативно-справочная информация
ОБИ - Обеспечение безопасности информации
ОЗУ - Оперативное запоминающее устройство
ООО - Общество с ограниченной ответственностью
ОС - Операционная система
ОТСС - Основные технические средства и системы
ПАО - Программно-аппаратное обеспечение
ПДн - Персональные данные
ПЗУ - Постоянно запоминающее устройство
ПО - Программное обеспечение
ПОИБ - Подсистема обеспечения безопасности информации
ПСВ - Протоколы сетевого взаимодействия
ПЭВМ - Персональная электронная вычислительная машины
ПЭМИН - Побочные электромагнитные излучения и наводки
РИ - Речевая информация
САЗ - Система анализа защищенности
СВТ - Средства вычислительной техники
СВЧ - Сверхвысокочастотные системы
СЗИ - Средства защиты информации
СЗКИ - Система защиты конфиденциальной информации
СЗПДн - Система защиты персональных данных
СКЗИ - Средства криптографической защиты информации
СМИО - Сеть международного информационного обмена
СМЭВ - Система межведомственного электронного взаимодействия
СОВ - Средства обнаружения вторжений
ССОП - Системы связи общего пользования
СУБД - Система управления базами данных
СФ - Среда функционирования средств электронной подписи
СФК - Среда функционирования криптосредств
ТК - Технический канал
ТС - Технические средства
ТСОИ - Технические средства обработки информации
УБИ - Угроза безопасности информации
УБПДн - Угроза безопасности персональных данных
УЗ - Ультразвуковые системы
УИТК - Утечка информации по техническим каналам
УНД - Угроза непосредственного доступа
УУД - Угроза удаленного доступа
УФД - Угроза физического доступа
ЦОД - Центр обработки данных
ЦП - Центральный процессор
ЭП - Электронная подпись
Определения и термины
Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.
Аппаратная закладка - скрытно внесенный в аппаратное обеспечение ИСПДн функциональный объект, который при определенных условиях способен обеспечить несанкционированное воздействие на защищаемую информацию.
Безопасность персональных данных - состояние защищенности ПДн, характеризуемое способностью пользователей, технических средств и ИТ обеспечить конфиденциальность, целостность и доступность ПДн при их обработке в ИСПДн.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.
Внутренний канал связи ИСПДн - канал связи, по которому происходит циркуляция информации, содержащей персональные данные, находящийся в пределах контролируемой зоны.
Доступ в операционную среду компьютера (информационной системы персональных данных) - получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.
Идентификация - присвоение субъектам и объектам доступа идентификатора и(или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (ПДн), обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку ИТ и ТС.
Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание работников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.
Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта ПДн или наличия иного законного основания.
Критически важный объект - объект, оказывающий существенное влияние на национальную безопасность Российской Федерации, прекращение или нарушение функционирования которого приводит к чрезвычайной ситуации или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, другой сферы хозяйства или инфраструктуры страны либо для жизнедеятельности населения, проживающего на соответствующей территории, на длительный период времени.
Ложный объект сети - сетевой объект, внедряемый злоумышленником с целью получения НСД к пакетам информации, передаваемым по сети. Объект может играть роль конечной точки (выступать в качестве подложного сервера или клиента) или посредника и позволять злоумышленнику получать и анализировать информацию, видоизменять информацию в процессе передачи, а также инициировать передачу ложной информации или управляющих команд.
Нарушитель безопасности персональных данных - физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в ИСПДн.
Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своему функциональному предназначению и техническим характеристикам.
Носители ключевой информации - устройства, в которых хранятся закрытые ключи и сертификаты открытых ключей.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн).
Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.
Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы ПДн или использующее результаты ее функционирования.
Программная закладка - скрыто внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.
Разрешительная система доступа персонала к защищаемым ресурсам (матрица доступа) - документ, описывающий права доступа пользователей ИС к защищаемым ресурсам.
Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн, а также иных несанкционированных действий при их обработке в информационной системе ПДн.
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в ИСПДн и (или) в результате которых уничтожаются материальные носители ПДн.
Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.
Уязвимость - некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.
1. Общее описание информационных систем отрасли
Основными информационными системами отрасли, в которых производится обработка ПДн являются:
- внутренние (локальные) ИС обработки ПДн (Система кадрового учета, Система бухгалтерского учета и др.);
- федеральные (государственные) ИС (Единая государственная информационная система обеспечения транспортной безопасности, Единая межведомственная система сопряжения информационных систем, решающих задачи в области обеспечения безопасности на транспорте, в том числе со специализированной территориально-распределенной системой "Розыск-Магистраль" МВД России (СС РМ) и др.).
Внутренние (локальные) ИС обработки ПДн предназначены для обработки:
- сведений о государственных служащих, их профессиональной подготовке, переподготовке, повышении квалификации, присвоенных наградах и пр.;
- финансовой информации, включая сведения о начислении заработной платы работникам Минтранса России;
- регистрация и учет документов, содержащие ПДн;
- сведения, содержащиеся в устных и письменных обращениях граждан, а также сведения о принятых по ним решениям.
В Федеральные (государственные) ИС содержится государственные информационные ресурсы, в том числе и ПДн, в отношении которых на Минтранс России возложены обязанности обладателя содержащейся в них информации или оператора таких систем.
Состав информационных ресурсов, содержащий ПДн, уточняется и дополняется для каждой конкретной ИС.
На основе проведенного анализа в ИС отрасли, участвующих в обработки ПДн обрабатываются биометрические, общедоступные и иные категории ПДн.
ИС обработки ПДн государственных служащих являются ИС, обрабатывающей ПДн работников оператора. Федеральные государственные ИС относятся к ИС, обрабатывающей ПДн субъектов ПДн, не являющихся работниками оператора.
Анализ исходных данных о ИС отрасли позволяет сделать следующие выводы, о том что в ИС обрабатываться биометрические ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн), общедоступные ПДн (ПДн субъектов ПДн, полученные только из общедоступных источников ПД, созданных в соответствии со статьей 8 Федерального закона "О персональных данных") и иные категории персональных данных.
Специальные категории ПДн (ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов ПДн) в ИСПДн отсутствуют.
В ИСПДн обрабатываются ПДн как работников оператора, так и субъектов, не являющихся работниками оператора.
Типовой состав технических средств, участвующий в обработки ПДн:
- автономные автоматизированные рабочие места;
- локальные вычислительные сети;
- распределенные вычислительные сети.
ИСПДн предполагают как распределенную (на АРМ), так и централизованную (на выделенных файловых серверах сети) обработку и хранение ПДн.
В зависимости от особенностей ИС, часть технических средств может участвовать в информационном взаимодействии со смежными информационными системами и информационно-телекоммуникационной сетью Интернет.
Ввод данных, содержащих ПДн субъектов, в ИС осуществляется с бумажных носителей информации (снятие копий документов, ввод посредством клавиатуры и др.), так и с электронных носителей информации. Вывод информации из ИС осуществляется для предоставления ее потребителям информации.
Потребителями информации могут являться:
- работники оператора информационной системы;
- государственные органы;
- внешние организации.
Контролируемой зоной для большинства ИС является здания и (или) сооружения, в которых располагаются технические средства, за границами контролируемой зоны расположены линии передачи данных и телекоммуникационное оборудование, используемые для информационного обмена в сетях связи общего пользования и (или) сетях международного информационного обмена.
2. Определение уровня защищенности информационной системы
ИС, обрабатывающие ПДн классифицируются по 4 уровням защищенности.
Уровень защищенности определяется в зависимости от таких критериев как: категория ПДн; количество субъектов, чьи ПДн обрабатываются в ИСПДн; типы актуальных угроз безопасности ПДн.
Категории ПДн:
- биометрические;
- общедоступные;
- иные.
По форме отношений между оператором и субъектами, обработка подразделяется на два вида:
- обработка ПДн работников оператора;
- обработка ПДн субъектов, не являющихся работниками оператора.
По количеству субъектов определены две категории:
- менее 100 000 субъектов;
- более 100 000 субъектов.
Типы актуальных угроз:
- угрозы первого типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
- угрозы второго типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе;
- угрозы третьего типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Для большинства локальных ИС актуальными признаются угрозы третьего типа. Владельцы государственных ИС обязаны рассмотреть специфику работы информационной системы и определить, угрозы какого типа для него наиболее актуальны.
После анализа и выбора исходных данных для конкретной информационной системы уровень защищенности определяется согласно Таблице N 1.
Таблица N 1
|
Тип ИСПДн |
Работники оператора |
Количество субъектов |
Тип актуальных угроз |
||
|
1 |
2 |
3 |
|||
|
ИСПДн-Б (биометрические) |
|
|
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
ИСПДн-И (иные) |
Нет |
> 100 000 |
УЗ-1 |
УЗ-2 |
УЗ-3 |
|
Нет |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
|
Да |
|
||||
|
ИСПДн-О (общедоступные) |
Нет |
> 100 000 |
УЗ-2 |
УЗ-2 |
УЗ-4 |
|
Нет |
< 100 000 |
УЗ-2 |
УЗ-3 |
УЗ-4 |
|
3. Оценка потенциального ущерба субъектам персональных данных
Для ИС является обязательным выполнение следующих характеристик безопасности:
- конфиденциальность;
- целостность;
- доступность.
Под конфиденциальностью понимается обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта ПДн или наличия иного законного основания.
Под целостностью понимается состояние защищенности информации, характеризуемое способностью автоматизированной системы обеспечивать сохранность и неизменность информации при попытках несанкционированных воздействий на нее в процессе обработки или хранения.
Под доступностью понимается состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации,а также право на изменение, использование, уничтожение ресурсов.
Для сопутствующей информации также необходимо соблюсти конфиденциальность, целостность и доступность.
Для технических средств как объектов угроз необходимо соблюдение только целостности и доступности.
Для программного обеспечения необходимо соблюдение целостности и доступности.
Для помещений, в которых размещены элементы ИС, необходимо соблюдение контроля доступа.
Таким образом, модель угроз верхнего уровня можно представить в следующем виде:
- угрозы нарушения конфиденциальности ПДн;
- угрозы нарушения целостности ПДн;
- угрозы нарушения доступности ПДн;
- угрозы нарушения конфиденциальности сопутствующей информации;
- угрозы нарушения целостности сопутствующей информации;
- угрозы нарушения доступности сопутствующей информации;
- угрозы нарушения целостности технических средств;
- угрозы нарушения доступности технических средств;
- угрозы нарушения целостности программного обеспечения;
- угрозы нарушения доступности программного обеспечения;
- угрозы несанкционированного доступа в помещения.
Опасность угроз безопасности ПДн напрямую определяется тем ущербом субъекту ПДн, к которому приводит их реализация. Ущерб субъекту ПДн определяется в виде показателя опасности, который принимает следующие значения:
- незначительные негативные последствия (незначительный ущерб) - последствия для субъекта незаметны либо малоощутимы. Отсутствует финансовый, репутационный, моральный ущерб. Репутация субъекта, его материальное благополучие, жизнь и здоровье не затронуты;
- негативные последствия (существенный ущерб) - последствия приводят к небольшим по объему или значению финансовым и (или) моральным и (или) репутационным потерям. Основные интересы и права личности, закрепленные Конституцией Российской Федерации, не затронуты;
- значительные негативные последствия (неприемлемый ущерб) - последствия приводят к ощутимым финансовым, моральным, репутационным потерям для субъекта, вплоть до потери средств к существованию, здоровья, жизни.
Оценка ущерба должна проводится с учетом специфики функционирования конкретной ИСПДн.
4. Модель угроз безопасности информационных систем отрасли
4.1 Описание возможных источников угроз в информационных системах персональных данных
Возможными источниками угроз в ИСПДн могут быть:
- нарушитель (лица, как являющиеся так и не являющиеся работниками оператора ПДн);
- программные и технические средства ИСПДн, а также системы обеспечения (системы электропитания, кондиционирования, вентиляции, отопления и другие);
- аварии, катастрофы и стихийные бедствия техногенного или природного характера (пожары, наводнения, взрывы, обрушения зданий и другие).
Возможности и характеристики такого источника угроз как нарушитель рассмотрены в разделе 5.
Программные и технические средства ИСПДн, а также системы обеспечения являются источниками угроз безопасности в случае их некачественного исполнения, а также при внедрении программно-аппаратных закладок и заражении вредоносным программным обеспечением.
Программно-аппаратные закладки могут быть конструктивно встроенными и (или) автономными.
Конструктивно встроенные программно-аппаратные закладки создаются в ходе проектирования и разработки программного и аппаратного обеспечения, применяемого в ИСПДн, и могут проявляться в виде недокументированных (недекларированных) возможностей различных элементов вычислительной системы.
Автономные аппаратные закладки являются законченными устройствами, выполняющими определенные функции перехвата, накопления, передачи или ввода/вывода информации.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
- съемный носитель, то есть дискета, оптический диск (CD-R, CD-RW), флеш-память, съемный жесткий диск и т.п.;
- встроенные носители информации (жесткие диски, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти шин передачи данных, портов ввода-вывода);
- микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с файлами, имеющими определенные расширения или иные атрибуты, и с сообщениями, передаваемыми по сети, то ее носителями являются:
- пакеты передаваемых по компьютерной сети сообщений;
- файлы (текстовые, графические, исполняемые и т.д.).
Возникновение аварий, катастроф и стихийных бедствий техногенного или природного характера сложно спрогнозировать. При их наступлении нарушается штатное функционирование информационной системы. Способы противодействия данному источнику угроз регламентируется внутренними нормативными актами оператора.
4.2 Определение уязвимостей, актуальных для анализируемой ИСПДн
Ключевым элементом описания угроз помимо источников угроз безопасности ПДн являются уязвимости анализируемой ИСПДн.
Различают следующие группы основных уязвимостей:
- уязвимости системного программного обеспечения (в том числе уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных);
- уязвимости прикладного программного обеспечения (в том числе уязвимости средств защиты информации);
- уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки;
- уязвимости, вызванные недостатками организации ТЗИ от НСД;
- уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе, отказов этих средств;
- уязвимости виртуальной инфраструктуры.
Также в качестве отдельного вида уязвимостей ИСПДн рассматриваются технические каналы утечки информации.
Уязвимости системного программного обеспечения (в том числе уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов передачи данных)
Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем:
- в микропрограммах, в прошивках запоминающих устройств;
- в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;
- в средствах операционной системы, предназначенных для выполнения вспомогательных функций - утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах, предоставляющих пользователю дополнительные услуги (в специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.п.);
- в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.
Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:
- функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
- фрагменты кода программ, введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
- отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
- ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.
Уязвимости прикладного программного обеспечения (в том числе уязвимости средств защиты информации)
К прикладному программного обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования - текстовые и графические редакторы, медиапрограммы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, VisualBasic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы - это программы, которые разрабатываются с целью решения конкретных прикладных задач в ИСПДн.
Уязвимости прикладного программного обеспечения могут представлять собой:
функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
функции и процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн, использования штатных функций операционной системы и осуществления несанкционированного доступа, причем без возможности обнаружения этих изменений;
фрагменты кода программ, введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;
отсутствие необходимых средств защиты (аутентификации, проверки целостности и форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.).
Уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки
Данные уязвимости могут возникать за счет ввода разработчиком фрагментов кода программ, позволяющих обходить процедуры идентификации, аутентификации, проверки целостности и др. Использование программно-аппаратных закладок является экономически и технологически невыгодным, в связи с чем данная уязвимость в настоящей Модели угроз не рассматривается.
Уязвимости, вызванные недостатками организации ТЗИ от НСД
При обработке ПДн в ИСПДн, встроенных в системное и прикладное программное обеспечение средств защиты информации не хватает для обеспечения (аутентификации, проверки целостности форматов сообщений, блокирования несанкционированно модифицированных функций и т.п. В связи с этим встает необходимость использования дополнительных средств защиты информации от НСД.
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе, отказов этих средств
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе (отказов этих средств) обусловлены наличием ошибок в программах (в объявлении переменных, функций и процедур, кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.
Уязвимости виртуальной инфраструктуры
Уязвимости виртуальной инфраструктуры:
- обусловленные ограниченностью функциональных возможностей (наличием слабостей) активного и (или) пассивного виртуального и (или) физического сетевого оборудования, входящего в состав виртуальной инфраструктуры;
- связанные со слабостями технологий виртуализации, с помощью которых создаются виртуальные каналы передачи данных (сетевых технологий виртуализации). Небезопасное использование сетевых технологий виртуализации может обеспечить возможность несанкционированного перехвата трафика сетевых узлов, недоступных с помощью других сетевых технологий;
- связанные со слабостями гипервизора, а также слабостями программных средств и ограниченностью функциональных возможностей аппаратных средств, используемых для обеспечения его работоспособности;
- связанные с наличием у гипервизоров сетевых программных интерфейсов, предназначенных для удалённого управления составом и конфигурацией виртуальных устройств, созданных (создаваемых) данными гипервизорами, что позволяет злоумышленнику удалённо осуществлять НСД к этим устройствам с помощью сетевых технологий из виртуальной и (или) физической сети;
- в связи с наличием у создаваемых ВМ сетевых адресов и возможностью осуществления ими сетевого взаимодействия с другими субъектами как с помощью стандартных сетевых технологий, так и с помощью сетевых технологий виртуализации;
- связанные с возможностью обмена данными между ВМ без использования стандартных сетевых технологий;
- связанные со слабостями применяемых технологий виртуализации, реализующих распределение информации по различным виртуальным устройствам хранения данных и (или) виртуальным дискам, а также представление всех виртуальных устройств хранения данных и (или) виртуальных дисков в виде единого виртуального дискового пространства;
- связанные с наличием слабостей ПО гипервизора, реализующего функцию изолированной программной среды для функционирующих в ней программ;
- связанные с наличием слабостей ПО гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения программного кода не только защищаемой информации и обрабатывающих её программам, но и программного кода, реализующего виртуальное аппаратное обеспечение (виртуальные устройства обработки, хранения и передачи данных), от НСД со стороны вредоносной программы, функционирующей внутри ВМ;
- связанные с наличием слабостей ПО гипервизора, обеспечивающего изолированность адресного пространства, используемого для хранения пользовательских данных программ, функционирующих внутри ВМ, от НСД со стороны вредоносного ПО, функционирующего вне ВМ;
- связанные с наличием множества различных протоколов взаимной идентификации и аутентификации виртуальных, виртуализованных и физических субъектов доступа, взаимодействующих между собой в ходе передачи данных как внутри одного уровня виртуальной инфраструктуры, так и между её уровнями;
- связанные с наличием у консоли управления гипервизором программных интерфейсов взаимодействия с другими субъектами доступа (процессами, программами) и, как следствие, с возможностью НСД к данной консоли;
- связанные с наличием у консоли управления виртуальной инфраструктурой, реализуемой в рамках одной из виртуальных машин, а также у управляемых с её помощью гипервизоров программных интерфейсов взаимодействия с другими программами и, как следствие, с возможностью НСД к указанному ПО уровня управления;
- связанные с наличием ограниченности объёма дискового пространства, выделенного под виртуальную инфраструктуру и слабостями технологий контроля процесса создания ВМ, в связи с чем, возможно случайное или несанкционированное преднамеренное создание множества ВМ;
- связанные со слабостями ПО уровня управления виртуальной инфраструктурой, обеспечивающего выделение компьютерных ресурсов (вычислительных ресурсов и ресурсов памяти);
- связанные с отсутствием в ПО виртуализации защитных механизмов, предотвращающих НСД к образам ВМ;
- связанные с зависимостью функционирования каждого виртуального устройства и каждого виртуализированного субъекта доступа, а также всей виртуальной инфраструктуры (или её части, если используется более одного гипервизора) от работоспособности гипервизора.
Технические каналы утечки информации
При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации следующих каналов утечки информации по техническому каналу:
- угрозы утечки акустической (речевой) информации;
- угрозы утечки видовой (визуальной) информации;
- угрозы утечки информации по каналам ПЭМИН.
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн или функций воспроизведения ПДн акустическими средствами.
В ИСПДн функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами не используются.
Источником угроз утечки видовой (визуальной) информации являются внешние нарушители, которые могут использовать технические средства просмотра, внедренные в служебные помещения или скрытно используемые данными физическими лицами.
Среда распространения информативного сигнала (физическая среда, по которой информативный сигнал может распространяться) является однородной (воздушной).
Угрозы утечки видовой (визуальной) информации реализуются за счет просмотра ПДн с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн, в том числе с помощью оптических (оптикоэлектронных) средств.
Возникновение угрозы утечки ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.
Оборудованием, с помощью которого можно перехватить информацию по техническим каналам, обладают спецслужбы иностранных разведок. Кроме этого специалист должен обладать соответствующими навыками, чтобы выделить полезный сигнал непосредственно от АРМ, на котором происходит обработка информации. При попытке получения доступа к защищаемой информации за счет УИТК злоумышленник получит доступ к защищаемой информации, с которой работает пользователь в данный момент времени и не получит доступа ко всей БД, даже если сможет выделить сигнал от отдельного АРМ. Учитывая стоимость специализированного оборудования и обучения специалистов работе с ним, с помощью которого осуществляется перехват информации, предполагается, что злоумышленники предпочтут получить доступ к защищаемой информации другими способами. Исходя из вышеописанного, угрозы утечки ПДн по каналам ПЭМИН не рассматриваются.
4.3 Формирование общего перечня УБПДн, характерного для анализируемой ИСПДн
С учетом вышеприведенных предположений и допущений, а также формальных описаний угроз формируются высокоуровневые таблицы описания групп угроз в соответствии с классификацией, приведенной в документе ФСТЭК России "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных".
Общий перечень групп угроз, составленный в соответствии с Базовой моделью угроз безопасности ПДн, выглядит следующим образом (Таблица N 2):
Таблица N 2
|
Наименование класса угроз |
Наименование подкласса угроз |
|
|
Угрозы утечки информации по техническим каналам |
Угрозы, связанные с утечкой акустической (речевой) информации по техническим каналам |
|
|
Угрозы, связанные с утечкой видовой информации по техническим каналам | ||
|
Угрозы, связанные с утечкой информации по каналам ПЭМИН | ||
|
Угрозы несанкционированного доступа |
Угрозы НСД, реализуемые со стороны внутреннего нарушителя |
Реализуемые в ходе загрузки операционной системы |
|
Реализуемые после загрузки операционной системы | ||
|
Угрозы НСД, реализуемые со стороны внешнего нарушителя (с использованием протоколов межсетевого взаимодействия) |
Анализ сетевого трафика |
|
|
Сканирование сети | ||
|
Угроза выявления пароля | ||
|
Подмена доверенного объекта сети | ||
|
Навязывание ложного маршрута | ||
|
Внедрение ложного объекта сети | ||
|
Отказ в обслуживании | ||
|
Удаленный запуск приложений | ||
|
Угрозы, связанные с внедрением вредоносных программ (программно-математическое воздействие) |
Распространяемых по сети |
|
|
Распространяемых через отчуждаемые носители | ||
|
Угрозы НСД, реализуемые в виртуальной инфраструктуры |
Безопасность виртуальной инфраструктуры |
|
Для каждой группы УБПДн создается высокоуровневое описание, включающее в себя сводную информацию по совокупности элементов описания угроз, характерных для анализируемой ИСПДн.
4.4 Методика определения уровня исходной защищенности ИСПДн
Определение актуальных угроз безопасности ПДн производится на основе определенных ранее полного перечня источников угроз безопасности, уязвимостей и способов реализации угроз.
На первом этапе по результатам анализа предоставленных исходных данных и результатов обследования состояния защищённости ИСПДн определяется уровень её исходной защищенности, характеризуемый числовым коэффициентом Y1.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.
Для определения исходной защищенности ИСПДн должно быть рассчитано процентное соотношение каждого уровня защищенности ко всем характеристикам, имеющим место для ИСПДн, приведенных в Таблице N 3:
Таблица N 3
|
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
|
Высокий |
Средний |
Низкий |
|
|
1. По территориальному размещению | |||
|
Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом |
|
|
|
|
Городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка) |
|
|
|
|
Корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации |
|
|
|
|
Локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий |
|
|
|
|
Локальная ИСПДн, развернутая в пределах одного здания |
|
|
|
|
2. По наличию соединения с сетями общего пользования | |||
|
ИСПДн, имеющая многоточечный выход в сеть общего пользования; |
|
|
|
|
ИСПДн, имеющая одноточечный выход в сеть общего пользования |
|
|
|
|
ИСПДн, физически отделенная от сети общего пользования |
|
|
|
|
3. По встроенным (легальным) операциям с записями баз персональных данных | |||
|
чтение, поиск |
|
|
|
|
запись, удаление, сортировка |
|
|
|
|
модификация, передача |
|
|
|
|
4. По разграничению доступа к персональным данным | |||
|
ИСПДн, к которой имеет доступ определенный перечень работников организации, являющейся владельцем ИСПДн, либо субъект ПДн |
|
|
|
|
ИСПДн, к которой имеют доступ все работники организации, являющейся владельцем ИСПДн |
|
|
|
|
ИСПДн с открытым доступом |
|
|
|
|
5. По наличию соединений с другими базами ПДн иных ИСПДн | |||
|
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) |
|
|
|
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн |
|
|
|
|
6. По уровню обобщения (обезличивания) ПДн | |||
|
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); |
|
|
|
|
ИСПДн, в которой данные обезличиваются только при передаче в другие организации, и не обезличены при предоставлении их пользователю в организации; |
|
|
|
|
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн). |
|
|
|
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки | |||
|
ИСПДн, предоставляющая всю БД с ПДн; |
|
|
|
|
ИСПДн, предоставляющая часть ПДн; |
|
|
|
|
ИСПДн, не предоставляющие никакой информации. |
|
|
|
Исходная степень защищенности определяется следующим образом:
Y1 = 0 - ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню "высокий" (суммируются положительные решения но первому столбцу, соответствующему высокому уровню защищенности), а остальные - среднему уровню защищенности (положительные решения по второму столбцу).
Y1 = 5 - ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия предыдущего пункта и не менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний" (берется отношение суммы положительных решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные - низкому уровню защищенности.
Y1 = 10 - ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия двух предыдущих пунктов.
4.5 Расчет вероятности реализации УБПДн
Под вероятностью реализации угрозы (Y2) понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Также во внимание должна приниматься мотивированность нарушителей при реализации угроз безопасности.
Вводятся четыре вербальных градации этого показателя:
Y2 = 0 - маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
Y2 = 2 - низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (в организации внедрены средства защиты от данной угрозы и приняты организационные меры по минимизации возможности ее реализации);
Y2 = 5 - средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (в организации не внедрены средства защиты от данной угрозы или не приняты организационные меры по минимизации возможности ее реализации);
Y2 = 10 - высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (в организации не внедрены средства защиты от данной угрозы и не приняты организационные меры по минимизации возможности ее реализации).
4.6 Определение актуальных угроз из полученного общего перечня УБПДн, характерных для анализируемой ИСПДн
На данном этапе проводится экспертная оценка сформированных наборов угроз безопасности ПДн с точки зрения частоты (вероятности) их реализации с определением для каждой угрозы соответствующего числового коэффициента (Y2) и производится вычисление коэффициентов реализуемости выявленных угроз (Y) в соответствии с формулой:
с последующей вербальной интерпретацией полученных коэффициентов для всех выявленных угроз в диапазоне "низкая - средняя - высокая - очень высокая".
По итогам вычислений коэффициента реализуемости угрозы Y для каждой угрозы формируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0<Y<0,3, то возможность реализации угрозы признается низкой;
если 0,3<Y<0,6, то возможность реализации угрозы признается средней;
если 0,6<Y<0,8, то возможность реализации угрозы признается высокой;
если Y>0,8, то возможность реализации угрозы признается очень высокой.
Далее, из общего перечня угроз осуществляется выборка актуальных для ИСПДн угроз в соответствии с правилами, приведёнными в Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15 февраля 2008 г., в соответствии с Таблицей N 4.
Таблица N 4
|
Возможность реализации угрозы(Y) |
Показатель опасности угрозы |
||
|
Низкая |
Средняя |
Высокая |
|
|
Низкая |
Неактуальная |
Неактуальная |
Актуальная |
|
Средняя |
Неактуальная |
Актуальная |
Актуальная |
|
Высокая |
Актуальная |
Актуальная |
Актуальная |
|
Очень высокая |
Актуальная |
Актуальная |
Актуальная |
На основе вышеперечисленного анализа формируется систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн и разработке на их основе частных (детализированных) моделей применительно к конкретному виду ИСПДн. При разработке частных (детализированных) моделей угроз должны учитываться подходы, изложенные в настоящей Модели, с детализацией угроз в соответствии с документом ФСТЭК России "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных"
5. Модель нарушителя информационной системы безопасности системы
5.1 Классификация нарушителей безопасности персональных данных
Одним из основных источников угроз безопасности ПДн при их обработке в ИСПДн является нарушитель безопасности ПДн.
По наличию права постоянного или разового доступа в контролируемую зону (КЗ) ИСПДн нарушители подразделяются на два типа:
- нарушители, не имеющие доступа к ИСПДн, расположенной внутри КЗ, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, - внешние нарушители;
- нарушители, имеющие доступ к ИСПДн в пределах КЗ, включая пользователей ИСПДн, - внутренние нарушители.
Внешними нарушителями могут быть:
- пользователи системы, подключающиеся к системе из-за границ контролируемой зоны;
- администраторы, осуществляющие удаленную настройку и конфигурирование программного обеспечения;
- разведывательные службы иностранных государств;
- криминальные структуры;
- внешние субъекты (физические лица).
Внешние нарушители в ИСПДн подразделяются на четыре категории.
К внешнему нарушителю первой категории (И1) относятся лица, не имеющие доступа к ПДн.
Лицо этой категории имеет следующие возможности:
- осуществлять несанкционированный доступ к каналам связи, выходящим за пределы контролируемой зоны;
- осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;
- осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ;
- осуществлять несанкционированный доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны;
- осуществлять несанкционированный доступ через ИС взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.
К внешнему нарушителю второй категории (И2) относятся лица, не имеющие доступа к компонентам ИСПДн, но обладающие всеми необходимыми атрибутами (например, логин, пароль) для доступа к ИСПДн. К этому типу нарушителей относятся должностные лица, которые получают доступ к ПДн, посредством технологии удаленного доступа.
Лицо этой категории:
- обладает всеми возможностями лиц первой категории;
- знает, по меньшей мере, одно легальное имя доступа;
- обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- имеет доступ к части ПДн в соответствии с правами, определенными в Разрешительной системе доступа персонала к защищаемым ресурсам;
- располагает ограниченной информацией о топологии ИСПДн на базе распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств ИСПДн.
К внешнему нарушителю третьей категории (И3)относятся зарегистрированные пользователи ИСПДн с полномочиями администратора прикладного программного обеспечения.
Лицо этой категории:
- обладает полной информацией о системном и прикладном программном обеспечении, используемом в ИСПДн;
- обладает частью информации о технических средствах и конфигурации ИСПДн;
- имеет доступ к программным средствам протоколирования, используемым в ИСПДн;
- обладает правами конфигурирования и административной настройки прикладного программного обеспечения ИСПДн.
К внешнему нарушителю четвертой категории (И4) относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение.
Лицо этой категории:
- обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
- обладает возможностями внесения ошибок, недекларированных возможностей, в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн, но не имеет доступа непосредственно к компонентам ИСПДн, расположенным внутри контролируемой зоны.
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны организационно-технических мер защиты и контроля порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на три категории в зависимости от способа доступа и полномочий доступа к ПДн.
К внутреннему нарушителю первой категории (И5) относятся зарегистрированные пользователи с полномочиями администратора технических средств ИСПДн.
Лицо этой категории:
- обладает полной информацией о технических средствах и конфигурации ИСПДн;
- имеет доступ ко всем техническим средствам обработки информации;
- обладает правами конфигурирования и административной настройки технических средств ИСПДн.
К внутреннему нарушителю второй категории (И6) относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.
Лицо этой категории:
- обладает полной информацией об ИСПДн;
- имеет доступ к средствам защиты информации и протоколирования, кроме СКЗИ, в том числе средств ЭП;
- имеет права доступа по конфигурированию оборудования, отвечающего за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от НСД;
- не имеет доступа к конфигурированию и настройке СКЗИ, в том числе средств ЭП.
Администратор безопасности отвечает за соблюдение правил разграничения доступа, смену паролей, организацию проведения мероприятий по обеспечению безопасности информации в ИСПДн, периодический контроль состояния защищенности ПДн в ИСПДн.
К внутреннему нарушителю третьей категории (И7) относятся зарегистрированные пользователи с полномочиями администратора средств криптографической защиты (средств ЭП) ИСПДн.
Лицо этой категории:
- обладает полной информацией об ИСПДн;
- имеет доступ к СКЗИ, в том числе средствам ЭП;
- имеет права доступа по конфигурированию СКЗИ, в том числе средств ЭП;
- отвечает за генерацию ключевой информации.
К внутреннему нарушителю четвертой категории (И8) относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.
Лицо этой категории:
- обладает возможностями внесения аппаратных закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;
- может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.
5.2 Возможные средства и каналы атак нарушителей
В общем случае внутренние и внешние нарушители обладают следующими средствами для проведения атак:
- штатные средства, имеющиеся в ИСПДн;
- доступные в свободной продаже аппаратные средства и программное обеспечение, в том числе программные и аппаратные компоненты криптосредств;
- средства перехвата и обработки информации в кабельном и коммуникационном оборудовании;
- вредоносное программное обеспечение;
- инструменты необходимы для работы с техническими средствами и системами.
Каналами атак нарушителей является:
- непосредственный доступ к информационной системе;
- электронные носители информации;
- бумажные носители информации;
- программно-аппаратные средства ИСПДн;
- кабельные системы и коммуникационное оборудование;
- технические каналы утечки информации.
6. Криптографическая защита информации в информационных системах
В случае доступа к ресурсам ИСПДн посредством технологии удаленного доступа или VDI, а также осуществляется передача ПДн по открытым каналам связи, выходящим за пределы контролируемой зоны. В связи с этим необходимо использовать средства криптографической защиты информации.
Согласно приказу Федеральной службы безопасности от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности" для каждого из уровней защищенности ПДн применение СКЗИ соответствующего класса, позволяющих обеспечивать безопасность ПДн при реализации целенаправленных действий с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемых СКЗИ ПДн или создания условий для этого (далее - атака), которое достигается путем:
- получения исходных данных для формирования совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак;
- формирования и утверждения руководителем оператора совокупности предположений о возможностях, которые могут использоваться при создании способов, подготовке и проведении атак, и определение на этой основе и с учетом типа актуальных угроз требуемого класса СКЗИ;
- использования для обеспечения требуемого уровня защищенности ПДн при их обработке в информационной системе СКЗИ класса КС1 и выше.
Перечень актов
В ходе подготовки настоящего документа были использованы положения следующих актов:
Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 15 февраля 2008 г.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора ФСТЭК России 14 февраля 2008 г.
Приказ Федеральной службы безопасности от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Требования к защите персональных данных при их обработке в информационных системах персональных данных, утвержденные постановлением Правительства Российской Федерации от 1 ноября 2012 г. N1119.
Руководящий документ "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержден Решением председателя Гостехкомиссии России 30 марта 1992 г.
Руководящий документ "Защита от несанкционированного доступа к информации. Термины и определения", утвержден Решением председателя Гостехкомиссии России 30 марта 1992 г.
Руководящий документ "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержден Решением председателя Гостехкомиссии России 30 марта 1992 г.
Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержден Решением председателя Гостехкомиссии России 30 марта 1992 г.
Руководящий документ "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники", утвержден Решением председателя Гостехкомиссии России 30 марта 1992 г.
ГОСТ Р 51583-2014 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения".
Приказ ФСБ/ФСТЭК от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования".
Приказ ФСБ от 27 декабря 2011 г. N 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра".
Указ Президента Российской Федерации от 30 мая 2005 г. N 609 "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержден приказом ФСТЭК России от 18 февраля 2013 г. N 21.
-------------------------------------------
*(1) Примечание. Так как по своей природе сведения, составляющие государственную тайну, не отличаются от всех остальных сведений, то приведенное определение можно корректно использовать для любых сведений.
*(2) Примечание. Так как по своей природе сведения, составляющие государственную тайну, не отличаются от всех остальных сведений, то приведенное определение можно корректно использовать для любых сведений.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.