Приложение N 2. Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог"

Приложение N 2

Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог"
(утв. приказом Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@)

I. Введение

Настоящая Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог" предназначена для определения необходимого уровня криптозащиты информации конфиденциального характера, а также иной защищаемой в соответствии с законодательством Российской Федерации информации в процессе ее обработки и передачи по перехватываемым общедоступным каналам связи между типовыми объектами АИС "Налог". Данный документ включает в себя:

общее описание модели актуальных угроз для системы обмена данными внутри типовых объектов информатизации ФНС России и между ними;

общее описание методологии формирования модели нарушителя безопасности информации для системы обмена данными между объектами информатизации;

описание модели нарушителя безопасности информации при её обработке и циркуляции между объектами АИС "Налог".

АИС "Налог" архитектурно представляет собой комплекс типовых объектов, включающих центры обработки данных (хранилищ данных), локальные информационные системы и автоматизированные, в том числе, территориально удаленные рабочие места, объединенных в единую информационную систему средствами связи. С учётом изложенного, необходимость использования криптографических методов защиты информации возникает, в первую очередь, при обмене данными между типовыми объектами АИС "Налог", осуществляемого по общедоступным каналам связи, не защищенным от несанкционированного доступа к ним с целями нарушения конфиденциальности, целостности и/или модифицирования нарушителями информационной безопасности (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования).

Модель нарушителя содержит описание предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак с целью нарушения заданных характеристик безопасности защищаемой криптосредствами информации или с целью создания условий для этого, а также об ограничениях на эти возможности.

Разработка Модели актуальных угроз и Модели нарушителя осуществлялась в соответствии методическими нормативными документами ФСБ России и ФСТЭК России:

"Методические рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (ФСБ России, N 149/54-144, 2008 г.);

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008;

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 14.02.2008;

Кроме того, при разработке настоящей Модели нарушителя учтены результаты моделирования угроз безопасности персональных данных, иной защищаемой в соответствии с законодательством Российской Федерации информации при её обработке и циркуляции в информационных системах персональных данных типовых объектов информатизации АИС "Налог".

II. Цель моделирования

Целью построения данной Модели нарушителя является определение типа возможного нарушителя, который может осуществлять целенаправленные действия с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации конфиденциального характера (информации, содержащей персональные данные или сведения, составляющие налоговую тайну) или с целью создания условий для этого.

Модель нарушителя основывается на результатах моделировании актуальных угроз безопасности информации, циркулирующей по линиям связи как внутри типовых объектов информатизации АИС "Налог", так и между ними, а также описывает действия нарушителей, представляющих потенциальную опасность в отношении самих средств криптографической защиты, шифрключей и другой криптографически опасной информации для них, а также информации конфиденциального характера, защищаемой с помощью этих средств.

Результаты моделирования предназначены для определения требуемого уровня криптографической защиты циркулирующей в АИС "Налог" информации конфиденциального характера, при её передаче по перехватываемым и/или подверженных иному деструктивному воздействию нарушителя каналам связи и, как следствие, определения класса защиты применяемых в системе криптосредств.

Применение средств криптографической защиты соответствующего класса позволит обеспечить требуемый уровень конфиденциальности и целостности информации конфиденциального характера, передаваемой по общедоступным каналам связи между объектами АИС "Налог".

III. Исходные данные

В качестве исходных данных для построения Модели нарушителя использованы:

Пояснительная записка к техническому проекту "Модернизация и внедрение архитектуры информационной системы ФНС России (II очередь, 2008 год). Система информационной безопасности";

Дополнение N 3 к Техническому заданию на СОБИ АИС "Налог";

результаты обследования информационно-телекоммуникационной инфраструктуры типовых объектов информатизации ФНС России федерального, регионального и местного уровней;

материалы "Проекта модернизации архитектуры информационной системы ФНС России. Книга 1. Описание существующей архитектуры АИС Налог" Части 1 - 11;

результаты аудита IT-инфраструктуры ФЦОД (2010 г.);

результаты аудита ИБ шести управлений ФНС России по субъекту Российской Федерации (2008-2010 г.г.);

Концепция построения СОБИ АИС "Налог" (проект);

результаты аудита ИС сегмента МИ ФНС по ЦОД АИС "Налог";

"Методические рекомендации по организации электронного документооборота при представлении налоговых деклараций (расчетов) в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 02.11.2009 г. N ММ-7-6/534@);

IV. Объект моделирования

Объектом моделирования нарушителя безопасности конфиденциальной информации, в том числе персональных данных, циркулирующих в линиях связи в АИС "Налог", являлись возможные деструктивные действия указанного нарушителя, которые могут привести к нарушению конфиденциальности или целостности защищаемой информации конфиденциального характера в случае её передачи по линиям связи как внутри типовых объектов информатизации АИС "Налог", так и между ними.

К объектам защиты в контексте настоящей Модели относятся информационные ресурсы конфиденциального характера, обрабатываемые в АИС "Налог" (информация, содержащая персональные данные, и сведения, составляющие налоговую тайну).

V. Назначение АИС "Налог"

АИС "Налог" предназначена для автоматизации основных деловых процессов налогового администрирования и контроля за соблюдением действующего налогового законодательства, осуществляемых Федеральной налоговой службой в соответствии с законодательством Российской Федерации, а также автоматизации обеспечивающих функций (материально-техническое снабжение органов ФНС, управление персоналом и др.).

5.1. Информационные потоки и каналы связи АИС "Налог"

5.1.1 Модель информационного взаимодействия

Объектами информатизации, на которых осуществляется обработка и хранение информации и которые участвуют в обмене конфиденциальными данными по перехватываемым линиям связи являются подразделения Федеральной налоговой службы в составе:

Центрального аппарата ФНС России;

МИ ФНС России по централизованной обработке данных;

МИ ФНС России по крупнейшим налогоплательщикам;

МИ ФНС России по федеральным округам;

УФНС России по субъектам Российской Федерации;

инспекций ФНС России по районам, районам в городах, городам без районного деления;

межрайонных инспекций ФНС России;

МРИ ФНС России по централизованной обработке данных.

Вместе с тем, согласно приказу Министерства Финансов Российской Федерации от 18.01.2008 г N 9н "Об утверждении Административного регламента Федеральной налоговой службы по исполнению государственной функции по бесплатному информированию (в том числе в письменной форме) налогоплательщиков, плательщиков сборов и налоговых агентов о действующих налогах и сборах, законодательстве о налогах и сборах и принятых в соответствии с ним нормативных правовых актах, порядке исчисления и уплаты налогов и сборов, правах и обязанностях налогоплательщиков, плательщиков сборов и налоговых агентов, полномочиях налоговых органов и их должностных лиц, а также представлению форм налоговых деклараций (расчетов) и разъяснению порядка их заполнения", Федеральной налоговой службой разработан и введен в действие ряд нормативных документов, устанавливающих порядок организации взаимодействия между налоговыми органами и налогоплательщиками в электронном виде по телекоммуникационным каналам связи, в том числе:

Указанные документы устанавливают:

перечень электронных документов и порядок организации информационного взаимодействия налогоплательщика и налогового органа по каналам связи напрямую или через спецоператора связи в зашифрованном виде, с использованием сертифицированных установленным порядком шифровальных средств;

возможность взаимодействия налогоплательщиков, в том числе и физических лиц, с налоговыми органами, в которых они состоят на учете, а также по месту нахождения принадлежащего им недвижимого имущества и иным основаниям, предусмотренным Налоговым кодексом РФ, в режиме удаленного доступа, с использованием общедоступных (т.е. подверженных перехвату или иным деструктивным воздействиям) IP- и/или коммутируемых каналов связи.

"Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" не только устанавливают виды информационных услуг, которые предоставляются налогоплательщикам, но и содержат перечень форматов документов, формируемых налоговыми органами в ответ на их запросы в автоматическом режиме (п. 2.7 указанного документа). Таким образом, данный документ по существу признает удаленные терминалы доступа налогоплательщиков элементом АИС "Налог". Последнее означает, что приведенный в выше перечень налоговых органов, которые могут участвовать в информационном обмене конфиденциальными данными (в том числе и персональными данными) должен быть дополнен удаленными терминалами пользователей, не являющихся работниками налоговых органов, но являющихся легальными пользователями АИС "Налог". Кроме того, с учетом положений п. 2.8 упомянутых "Методических рекомендаций_", такие пользователи-налогоплательщики могут иметь удаленный доступ с использованием перехватываемых каналов связи к информационным ресурсам сразу нескольких типовых объектов информатизации ФНС России различного уровня.

С учётом изложенного, при построении настоящей Модели в дополнение к результатам моделирования угроз, приведённых в Моделе угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России, дополнительно должны быть учтены угрозы, обусловленные особенностями организации электронного документооборота между налоговыми органами и налогоплательщиками, регламентированного "Методическими рекомендациями по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22.06.2011 N ММВ-7-6/381@).

Модель информационного взаимодействия налоговых органов различного уровня, учитывающая особенности электронного документооборота между налоговыми органами и налогоплательщиками, приведена на Рис. 1.

На основе анализа выполняемых задач по обработке данных структурными подразделениями ФНС России можно провести группирование объектов. Типовые объекты обработки данных и применяемые технологии информационного взаимодействия между ними приведены в Таблице 1.

Информационное взаимодействие налоговых органов осуществляется:

между структурными подразделениями налогового органа - в пределах одного налогового органа;

между налоговыми органами ФНС России различного уровня;

между налоговым органом и другими организациями и ведомствами, включая налогоплательщиков, и физическими лицами.

Информационное взаимодействие между структурными подразделениями одного налогового органа представлено обменом документами на бумажных носителях, электронными образами этих документов и электронными документами. Обмен файлами документов осуществляется по ЛВС, используя систему электронного документооборота (СЭД), средства внутренней электронной почты, веб-доступ к ресурсам сети, совместно используемые каталоги файловых систем, FTP-обмен, доступ к базам данных налогового администрирования.

Обмен между различными налоговыми органами, между налоговыми органами и организациями иного ведомственного подчинения, между налоговыми органами и иными организациями и лицами (например, налогоплательщиками), а также доступ этих внешних организаций и лиц к базам данных налоговых органов в целях формирования запросов и получения ответов в автоматическом режиме осуществляется с использованием общедоступных перехватываемых и/или подверженных внешним деструктивным воздействиям телекоммуникационным каналам.

Информационное взаимодействие между налоговыми органами осуществляется как по вертикали иерархии организационного подчинения, так и по горизонтали. Обусловлено это тем, что иерархия функций налогового администрирования включает в себя административные, методические, плановые, контрольно-аналитические процессы, учет платежей, проведение выездных поверок, мониторинг недоимок и др., которые требуют в общем случае организации как вертикальных (восходящих и нисходящих), так и горизонтальных информационных потоков.

Восходящие информационные потоки в иерархии организационного подчинения ориентированы на решение задач сбора первичных документов и данных, их обобщения и формирования региональных и федеральных информационных ресурсов.

Нисходящие информационные потоки в иерархии организационного подчинения обеспечивают распространение нормативных документов, нормативно - справочной информации, версий типового программного обеспечения, обеспечивающих единую политику налогового администрирования, информации из региональных и федеральных ресурсов.

Наличие горизонтальных связей в рамках информационного взаимодействия обусловлены необходимостью обмена информацией между налоговыми органами одного уровня, например, передачи данных о налогоплательщиках между ИФНС России.

Информационное взаимодействие между налоговыми органами представлено обменом информацией, электронными документами и документами на бумажных носителях (доставка курьерами) и электронными образами этих документов (с использованием каналов связи) в соответствии с порядками, регламентами и протоколами по обмену информацией. Для обмена по каналам связи используются системы электронного документооборота, электронной почты, Web-доступа, FTP-обмен, доступ к базам данных налогового администрирования (информационным ресурсам).

ФНС России должна также взаимодействовать с налогоплательщиками, органами государственной власти и государственного управления, с регистрирующими органами, финансово-кредитными и другими организациями всех уровней. Информационный обмен с внешними организациями и ведомствами организуется по каналам связи и/или на электронных или бумажных носителях в соответствии с соглашениями, регламентами и протоколами по обмену информацией и с учетом готовности этих органов к обмену с применением современных средств вычислительной техники. Информационный обмен с налогоплательщиками осуществляется в соответствии с нормативными актами ФНС России*(1). Данный обмен может осуществляться, как непосредственно между налоговыми органами и налогоплательщиками, так и с использованием услуг спецоператоров связи.

ФНС России осуществляет взаимодействие со следующими организациями, органами государственной власти и управления:

Управление делами Президента Российской Федерации;

Аппарат Совета Федерации Федерального Собрания Российской Федерации;

Центральная избирательная комиссия Российской Федерации;

Министерство внутренних дел Российской Федерации;

Федеральная миграционная служба;

Федеральная таможенная служба;

Федеральная служба государственной регистрации, кадастра и картографии;

Федеральная служба государственной статистики;

Федеральная служба по финансовому мониторингу;

Федеральная служба финансово-бюджетного надзора;

Федеральная служба судебных приставов;

Федеральное агентство водных ресурсов;

Федеральное агентство по недропользованию;

Федеральное агентство по управлению государственным имуществом;

Федеральное агентство по рыболовству;

Счетная палата РФ;

Федеральное казначейство;

Банк России;

Сбербанк;

Пенсионный фонд России;

Фонд социального страхования;

Федеральный фонд обязательного медицинского страхования;

Органы (организации) технической инвентаризации;

Органы местного самоуправления;

Другие органы государственной власти и управления.

5.1.2 Описание (классификация) каналов связи между типовыми объектами АИС "Налог"

Используемые в информационных системах ФНС России технологии взаимодействия при обработке информационных ресурсов включают:

электронную почту (протокол SMTP);

электронный обмен файлами (протокол FTP);

обмен файлами в формате XML;

Web-доступ к ресурсам сети (протокол HTTP/ HTML);

технологию терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA);

публикацию информации о функциональных сервисах и электронный обмен сообщениями и документами (протоколы SOAP/XML, UDDI, WSDL, WSFL);

репликацию баз данных (служба репликации DFS/FRS).

Обмен информацией осуществляется:

внутри типовых объектов - по линиям связи локальных вычислительных сетей (кабельные, волоконно-оптические, беспроводные), проходящим в границах объекта информатизации с использованием программных и технических средств ЛВС в соответствии с транспортными протоколами обмена информацией между абонентами (пользователями) локальных ;

между типовыми объектами информатизации ФНС России (территориально удаленными сегментами АИС "Налог", включая терминалы доступа налогоплательщиков) - средствами связи с использованием связных протоколов (например, сетевого протокола TC/IP) по выделенным или общедоступным линиям связи, выходящим за границы объектов и подверженным перехвату и/или иным деструктивным воздействиям со стороны нарушителей информационной безопасности;

между типовыми объектами информатизации (структурными подразделениями) ФНС России и информационными системами внешних организаций и ведомств - средствами связи с использованием связных протоколов по выделенным или общедоступным линиям связи, выходящим за границы объектов информатизации, подверженным перехвату и/или иным деструктивным воздействиям со стороны нарушителей информационной безопасности, в соответствии с нормативными актами Российской Федерации, а также соглашениями и протоколами по обмену информацией с указанными структурами.

При этом данные, передаваемые по каналам связи, выходящим за пределы контролируемой зоны типовых объектов информатизации, защищаются при необходимости криптографическими средствами, а информационные ресурсы АИС "Налог" защищаются от несанкционированного воздействия со стороны общедоступных информационных и телекоммуникационных систем средствами межсетевого экранирования. Функциональные сегменты АИС, располагаемые в одной контролируемой зоне, разделяются с использованием средств межсетевого экранирования. Количество точек сопряжения одного сегмента с другими выбирается минимально необходимым (ограниченным). Регламентация межсегментного обмена информацией достигается применением заданной политики доступа на комплексах средств защиты информации

5.2 Информационные ресурсы АИС "Налог"

Под информационными ресурсами в ФНС России понимаются совокупность сведений в электронном виде (база данных, электронная библиотека, реестр, кадастр, фонд, архив и другие виды информационных массивов), поддерживаемых программно-техническими средствами АИС "Налог". Информационные ресурсы размещаются в хранилищах данных налоговых органов, из которых путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок.

Информационные ресурсы созданы на основе информации, получаемой инспекциями местного уровня от налогоплательщиков, отчетной информации инспекций местного и регионального уровней об их деятельности и выполненных работах по сбору налогов и платежей, информации, получаемой из федеральных органов государственной власти, внебюджетных фондов и других источников, а также собственной информации ЦА ФНС России.

Информационные ресурсы в ФНС России разделяются на 4 основные группы:

информационные ресурсы по государственной регистрации и учету юридических и физических лиц;

информационные ресурсы по формам налоговой отчетности, ежегодно утверждаемым приказом ФНС России;

информационные ресурсы, формируемые на основе сведений, получаемых из внешних источников;

вспомогательные информационные ресурсы.

Наиболее важными с точки зрения обеспечения выполнения функций, возложенных на органы ФНС, являются следующие информационные ресурсы:

ЕГРН - единый государственный реестр налогоплательщиков;

ЕГРЮЛ - единый государственный реестр юридических лиц;

ЕГРИП - единый государственный реестр индивидуальных предпринимателей;

другие базы данных, а именно: "Банковские счета"; "Сведения о физических лицах"; "Недействительные паспорта"; "Статистическая налоговая отчетность"; "База данных об объемах производства и оборота этилового спирта и алкогольной продукции"; "Таможня"; "Пересечение границы"; "Суды"; "Кадры"; "НДС".

Основным источником информации для наполнения первичных баз данных АИС "Налог" являются документы и сообщения, поступающие от структурных подразделений ФНС России, налогоплательщиков и внешних организаций.

Защищаемые ИР по степени ограничения доступа к ним подразделяются на ИР, содержащие:

информацию, не содержащую сведения, составляющие государственную тайну, но имеющую конфиденциальный характер (т.е. информацию ограниченного доступа), в отношении которой должно выполняться требование обеспечения конфиденциальности, целостности и доступности (ИР, содержащие персональные данные или сведения, отнесённые к налоговой тайне). Особенностью защищаемых информационных ресурсов конфиденциального характера является то, что, как правило, они одновременно содержат сведения, отнесённые к разным видам конфиденциальной информации, а также и к общедоступной информации. Так, например, информация, составляющая налоговую тайну физического лица, одновременно будет являться и его персональными данными, а в государственных реестрах ЕГРЮЛ, ЕГРИП или ЕГРН содержатся сведения (персональные данные), отнесённые законодательством к общедоступным, а также персональные данные, в отношении которых требуется обеспечить конфиденциальность;

общедоступную информацию (открытые ИР), в отношении которой должно выполняться требование обеспечения целостности и доступности.

Характер информационных ресурсов, обрабатываемых на объектах АИС "Налог" по степени ограничения доступа к ним, представлен в таблице 2.

Информационное и функциональное взаимодействие узлов АИС "Налог" ФНС России осуществляется на основе интегрированных (логически единых) баз данных, обеспечивающих должностных лиц структурных подразделений ФНС России, а также подключенных налогоплательщиков (их представителей) требуемой информацией. Поэтому информационные потоки между типовыми объектами АИС "Налог" всех уровней могут содержать все перечисленные в табл. 2 виды ИР, однако информационные потоки между объектами федерального, регионального и местного уровней отличаются в объёме передаваемых данных (степени их обобщения: соответственно за Российскую Федерацию в целом, регион или территориально - административные образования местного уровня).

Как правило, формируемые и обрабатываемые в органах ФНС России отдельные информационные ресурсы, одновременно содержат перечисленные в таблице 2 виды информационных ресурсов, в том числе содержащие информацию конфиденциального характера (т.е. ограниченного доступа), а также сведения, отнесенные законодательством к общедоступной информации, и разделение их при передаче по каналам связи на отдельные категории невозможно.

Как следует из изложенного выше, информационные ресурсы, циркулирующие в АИС "Налог" с точки зрения категорирования информации, в принципе, не содержат сведений, составляющих государственную тайну, или иные несекретные, но государственно значимые сведения, разглашение которых может нанести ущерб обществу или государству в целом. Что практически исключает проявление интереса к этим ресурсам и обмену данными, осуществляемому по перехватываемым каналам связи в АИС "Налог", со стороны специальных служб зарубежных стран.

Вместе с тем, совокупность налоговых данных о юридических и физических лиц, содержащаяся в БД налоговых органов и собираемая в силу исполнения возложенных на эти органы государственных функций, не могут быть получены другими организациями и частными физическими лицами законным путем из единого источника. Кроме того, указанные налоговые и фактические данные о налогоплательщиках, физических и юридических лицах, накапливаемые и обрабатываемые в АИС "Налог", являются базой для начисления собственно налогов на налогоплательщиков, а также базой для осуществления перекрестных проверок выплат, осуществляемых этими плательщиками. В связи с этим, нарушение конфиденциальности налоговых сведений, обрабатываемых, хранимых и передаваемых по линиям связи как внутри объектов типовых информатизации, так и между ними может нанести ощутимый материальный и моральный ущерб субъектам этих данных. Аналогичным образом, несанкционированное нарушение целостности или модифицирование конкретных налоговых сведений может привести к невозможности осуществления налоговой службой своих государственных функций в должном (или даже полном) объеме. Кроме того, нарушение целостности, модифицирование или несанкционированное уничтожение налоговых сведений, в процессе их обработки, хранения и/или передачи по каналам связи может нанести также ущерб и владельцам этих данных.

Из изложенного следует, что нарушение конфиденциальности, доступности и/или целостности налоговых данных, циркулирующих в АИС "Налог", как правило, может осуществляться с корыстными целями, в том числе и самими налогоплательщиками, для сокрытия полученных доходов от налогообложения, сокрытия незаконных доходов, использования в целях извлечения нелегальных доходов, использования или передачи другому лицу производственной или коммерческой тайны налогоплательщика*(2) и т.д.

5.3 Архитектура АИС "Налог"

Информационная система АИС "Налог" обеспечивает автоматизированный сбор, учет, обработку, обобщение, анализ налоговой информации и поддержку принятия решений в налоговых процессах. Важнейшей задачей обработки налоговой информации в АИС "Налог" являются сбор данных от разнообразных источников, её обработка, агрегирование, классификация, подготовка к хранению и дальнейшей обработке, формирование в регламентном режиме и по отдельным запросам массивов информации, сводок и отчетов и их предоставление сотрудникам и руководству министерства.

АИС "Налог" объединяет в единое информационное пространство России множество информационных подсистем центрального аппарата, управлений ФНС России по субъектам Российской Федерации и местных налоговых инспекций. Основной задачей АИС "Налог" является обеспечение поддержки принятия решений при выполнении работниками ФНС России функций налогового администрирования путем предоставления информационных, справочных, аналитических и иных услуг.

Для обеспечения возложенных на ФНС России функций АИС "Налог" осуществляет поддержку процессов информационного взаимодействия с налогоплательщиками (физическими и юридическими лицами), а также с корпоративными информационными системами органов государственной власти, регистрирующих и лицензирующих органов.

Архитектура АИС "Налог" строится на следующих принципах:

- АИС "Налог" строится как многоуровневая территориально-распределенная система обработки налоговой информации, включающая в качестве составных частей:

1) корпоративные информационные системы типовых узлов федерального (Центральный аппарат, МИ ЦОД, МИ КНП), регионального (УФНС, МРИ ЦОД, МИ ФО) и местного уровней (ИФНС, МРИ КНП);

2) систему обеспечения информационной безопасности;

3) систему мониторинга и управления;

4) систему телекоммуникаций (СТК).

- архитектурные уровни АИС "Налог", обеспечивающие сбор, обработку и передачу налоговой информации, учитывают иерархическую структуру, как территориального деления России, так и структуру организационного деления ФНС России, и компонуются в единую сетецентрическую систему, поддерживаемую с помощью системного каталога;

- одним из основных архитектурных принципов построения среды обработки налоговой информации в АИС "Налог" является создание инфраструктуры на базе совокупности типовых узлов обработки данных - основного звена аналитической обработки информации, поступающей от налогоплательщиков и удаленных структурных подсистем АИС "Налог";

- региональные узлы АИС "Налог" являются типовыми элементами системы, используют построенную по единым архитектурным принципам программно-техническую среду, унифицированную технологию работы с информационными ресурсами и объединяются в единую систему средствами высокоскоростной транспортной сети;

- средства автоматизации МРИ ЦОД и МИ ЦОД совместно с аналитическими информационными системами подразделений реализуют функции распределенного информационного ядра среды аналитической обработки налоговой информации АИС "Налог";

- структурная подсистема АИС "Налог", автоматизирующая деятельность МРИ ЦОД (далее - узел МРИЦОД) выполняет функции федерального центра обработки данных, обеспечивающего деятельность ЦА ФНС России и территориальных органов ФНС России, а также поддерживающего информационное взаимодействие с внешними организациями;

- узел МИ ФНС России по ЦОД является центром оперативного управления всей информационной системой ФНС России и центром консолидации, хранения и обработки федеральных информационных ресурсов и информационных хранилищ в масштабе страны. Соответственно, узел МРИЦОД обеспечивает все действия, связанные с ведением этих ресурсов, получением и наполнением их из данных регламентной отчетности узлов МИЦОД, УФНС и других источников информации;

на региональном уровне находятся узлы УФНС России по субъектам Российской Федерации, которые взаимодействуют с МИЦОД (при их наличии), с узлами межрегиональных инспекций по федеральным округам (МИФО), разнообразными внешними организациями в своих регионах, а также - с узлами инспекций ФНС и налогоплательщиками своего региона. Все взаимодействия узлов регионального уровня с внешними объектами осуществляется в бесконтактной электронной форме;

МИЦОД является универсальным центром обработки данных и обеспечивает функции центра массовой обработки и хранения бумажных документов, центра консолидации и хранения реплики федеральных информационных ресурсов и информационных хранилищ по своему региону, центра информационного обмена с региональными внешними организациями и центра информационной поддержки налогоплательщиков своего региона;

Структурные подсистемы АИС "Налог", автоматизирующие деятельность ЦА ФНС России, МИ ФНС России по КНП, УФНС России и МИ ФНС России по ФО представляют собой локальные сети соответствующих структурных подразделений, использующие федеральные и региональные информационные ресурсы ФНС России, организованные в виде баз данных и информационных хранилищ.

5.4 Пользователи АИС "Налог"

Пользователями АИС "Налог", непосредственно осуществляющими обработку информации, являются:

пользователи информационных ресурсов ФНС России - работники структурных подразделений ФНС России;

обслуживающий персонал (системные администраторы, администраторы АС, администраторы баз данных, инженеры);

сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;

налогоплательщики, имеющие легальный удаленный доступ со своих терминалов доступа к устройствам обработки и хранения информации налоговых органов по каналам связи из-за пределов контролируемой зоны объектов информатизации ФНС России.

5.5 Доступ к информационным ресурсам АИС "Налог"

Прямой доступ к ИР возможен у следующих групп пользователей АИС "Налог":

работников МИ ФНС России по ЦОД, занимающихся установкой и администрированием ПО, используемого для работы с ИР.

работников МИ ФНС России по ЦОД, занимающихся анализом информации, содержащейся в БД с прямым доступом к БД;

работников МИ ФНС России по ЦОД, осуществляющих прямое копирование информации с полученных/на отправляемые диски CD-R/CD-RW;

работников МИ ФНС России по ЦОД, занимающихся загрузкой (выгрузкой) данных в (из) федеральные базы данных прямым копированием.

Терминальный доступ к ИР возможен у работников ФНС России, занимающихся загрузкой и выгрузкой информации через терминалы.

Удаленный доступ к ИР возможен у следующих групп пользователей:

работников МИ ФНС России по ЦОД, занимающихся анализом сведений, содержащихся в БД, и предоставлением сведений по запросам ЦА ФНС России через WEB-интерфейс;

работники подразделений ФНС России, которым в установленном порядке предоставлен доступ к ИР для выполнения служебных обязанностей.

Порядок предоставления услуги удаленного доступа к федеральным информационным ресурсам, сопровождаемым МИ ФНС России по ЦОД, в настоящее время регламентируется приказом ФНС России от 28.12.2004 N САЭ-3-13/182 "О порядке получения услуги удаленного доступа к информационным ресурсам, сопровождаемым МРИ ЦОД ФНС России" и приказом ФНС России от 12.07.2005 г. N САЭ-3-13/317 "О внесении изменений в приказ ФНС России от 28.12.2004 г. N САЭ-3-13/182 "О порядке получения услуги удаленного доступа к информационным ресурсам, сопровождаемым МРИ ЦОД ФНС России".

Разработанные "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" не содержат прямых указаний по порядку реализации удаленного доступа налогоплательщиков к информации, содержащейся в БД ФНС России. Также не описан порядок реализации автоматического формирования из данных ИР налоговых органов ответов на запросы налогоплательщиков.

Вместе с тем безусловное требование упомянутого выше нормативного документа ФНС России о формировании ответов на запросы налогоплательщиков в автоматическом режиме, дает основание предполагать, что налогоплательщики имеют (или будут в перспективе иметь) прямой удаленный доступ с использованием шифрованного канала к СВТ, обрабатывающим и/или хранящим ИР налоговых органов, в том числе и ИР федерального уровня. Поэтому содержащейся в настоящем разделе перечень групп легальных пользователей обладающими возможностями по удаленному доступу к указанным средствам СВТ и, возможно, информационным ресурсам налоговых органов должен быть дополнен следующей категорией легальных пользователей:

налогоплательщики, в том числе и физические лица, которым налоговыми органами предоставлен удаленный доступ к ИР, для электронного документооборота и получения информационного обслуживания в автоматическом режиме.

VI. Угрозы безопасности информации, обрабатываемой на типовых объектах АИС "Налог"

В настоящем разделе приведен перечень угроз безопасности информации, актуальных для типовых объектов АИС "Налог", которые могут быть реализованы различными категориями нарушителей.

Согласно модели информационного взаимодействия органов ФНС России, перечень актуальных угроз безопасности информации, определенный в соответствии с Моделью угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных типовых объектов информатизации ФНС России должен быть дополнен дополнительными угрозами, возникающими вследствие возможного удаленного легального доступа недобросовестных налогоплательщиков к СВТ, обрабатывающим и/или хранящим ИР налоговых органов, возможность которого предусматривается в соответствии с "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22.06.2011 N ММВ-7-6/381@).

Дополнительные угрозы ИР налоговых органов, возникающие в связи с реализацией возможного легального удаленного доступа налогоплательщиков по каналам связи к СВТ налоговых органов, обрабатывающим и хранящим информацию, связаны, в первую очередь, с использованием для удалённого доступа перехватываемых (и/или подверженных иному деструктивному воздействию нарушителей информационной безопасности) и не во всех случаях защищаемых общедоступных каналов связи. Указанные угрозы исходят от внешних нарушителей, не имеющих легального доступа к средствам АИС "Налог" и реализующих эти угрозы из-за пределов контролируемой зоны как типовых объектов информатизации ФНС России, так и терминалов удаленного доступа налогоплательщиков, то есть из внешних сетей связи общего пользования. Очевидно, что указанные угрозы связаны исключительно с использованием перехватываемых за пределами КЗ каналов связи и не отличаются от угроз, порождаемых наличием удаленного доступа по каналам связи у части работников налоговых органов, которым в установленном порядке предоставлен доступ к ИР для выполнения служебных обязанностей.

С другой стороны, угрозы безопасности информации могут происходить и от самих налогоплательщиков, которым предоставлены возможности с использованием шифрованного канала связи, который, естественно, имеет доверенный характер, формировать запросы и получать автоматически формируемые ответы из БД налоговых органов. Последнее означает, что такой пользователь имеет легальный доступ к средствам, размещенным внутри объектов информатизации АИС "Налог" с использованием штатных аппаратно-программных средств вычислительной техники и штатных средств защиты информации. Однако при этом, сам налогоплательщик и/или аффилированные с ним лица, могут иметь корыстные цели для нарушения конфиденциальности, целостности и/или доступности налоговых данных, содержащихся в БД налоговых органов.

Поскольку недобросовестный налогоплательщик имеет доступ к программно-техническим средствам налоговых органов, легально используя доверенный канал связи и штатные программно-аппаратные средства самой АИС "Налог", то он должен классифицироваться как внутренний нарушитель безопасности информации системы. Внутренние нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами. При этом предполагается, что на своем уровне такой нарушитель является специалистом высшей квалификации, знает все, как о самой АИС, так, и о средствах ее защиты. Описание определяемых руководящими документами 4-х уровней защиты, содержится в Приложении А к настоящей работе.

Поскольку недобросовестный налогоплательщик может воздействовать на АИС "Налог" только в процессе ее функционирования и по каналам связи, то возможности его воздействия не могут превышать третьего уровня, в соответствии с указанной классификацией. То есть максимально такой нарушитель безопасности информации может получить возможности по управлению АС путем воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Перечень основных угроз, связанных с несанкционированными действиями налогоплательщика, имеющего легальный удаленный доступ к СВТ налоговых органов и возможные последствия реализации этих угроз для безопасности ПДн, содержащихся в ИР налоговых органов, приведен в Таблице 3.

Согласно п.п. 2.7, 2.8 и 2.9 "Методических рекомендаций по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", налогоплательщик может быть подключен с использованием каналов связи к автоматизированным системам следующих типов налоговых органов:

местным органам, в которых налогоплательщик состоит на учете;

местным органам, по территориальному нахождению организации;

местным органам по расположению его обособленных подразделений;

местным органам, по месту жительства;

местным органам по местоположению его недвижимого имущества и транспортных средств его обособленных подразделений;

налоговым органам для крупнейших налогоплательщиков.

Таким образом, реализация угроз, связанных с возможным негативным воздействием пользователей - налогоплательщиков, имеющих легальный удалённый доступ к СВТ налоговых органов, по-видимому, возможна для следующих типовых объектов информатизации ФНС России:

инспекций ФНС России по районам, районам в городах, городам без районного деления;

межрайонных инспекций ФНС России;

УФНС России по субъектам Российской Федерации;

МИ ФНС России по крупнейшим налогоплательщикам.

Перечень актуальных угроз безопасности информации при её обработке для типовых объектов АИС "Налог", связанных с обменом защищаемой информацией между ними с использованием перехватываемых общедоступных каналов связи, разработанный с учётом результатов моделирования, приведен в Таблице 4.

VII. Модель нарушителя безопасности информации при её обработке в АИС "Налог"

7.1 Общее описание нарушителей (субъектов атак)

7.1.1 Содержание модели нарушителя

В контексте настоящей Модели под нарушителем (субъектом атаки) понимается лицо (группа лиц или инициируемый им (ими) процесс), осуществляющее целенаправленные действия (атаку) с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Модель нарушителя содержит описание предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК. Под этими этапами понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредства и СФК.

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК обработка информации конфиденциального характера (персональных данных) не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них. На перечисленных этапах возможны следующие атаки, осуществляемые нарушителем:

внесение негативных функциональных возможностей в технические и программные компоненты криптосредства и СФК, в том числе с использованием вредоносных программ (компьютерные вирусы, "троянские кони" и т.д.);

внесение несанкционированных изменений в документацию на криптосредство и технические и программные компоненты СФК.

Необходимо отметить, что указанные атаки:

на этапах разработки, производства технических и программных средств криптосредства и СФК могут проводиться только вне зоны ответственности ФНС России;

на этапе транспортировки и хранения технических и программных средств криптосредства и СФК могут проводиться как в зоне, так и вне зоны ответственности ФНС России;

на этапе ввода в эксплуатацию технических и программных средств криптосредства и СФК находятся в зоне ответственности ФНС России.

Для блокирования перечисленных атак ФНС России должны быть предусмотрены следующие меры контроля:

соответствия технических и программных средств криптосредства, СФК и документации на эти средства, поступающих в зону ответственности ФНС России, эталонным образцам (например, заказчик, подразделение ФНС, должен требовать от поставщиков гарантий соответствия технических и программных средств криптосредства, СФК и документации на эти средства, поступающих в зону ответственности ФНС, эталонным образцам или наличие в СКЗИ, СФК специализированных механизмов контроля, позволяющих специалистам ФНС установить самостоятельно такое соответствие);

целостности технических и программных средств криптосредств, СФК и документации на эти средства в процессе транспортировки, хранения и ввода в эксплуатацию этих средств с использованием как встроенных механизмов контроля, описанных в документации на криптосредство, так и с использованием общих организационных и организационно-технических мер, разработанных ФНС России в целях обеспечения безопасности информации при её обработке на типовых объектах АИС "Налог" (например, поэкземплярного учета движения СКЗИ и эталонов прикладного ПО и т.д.).

С учётом изложенного в дальнейшем рассматриваются только возможности нарушителя по проведению атак на этапах эксплуатации программных и технических средств криптосредства и СФК, находящихся в зоне ответственности ФНС России.

Атака как целенаправленное действие характеризуется рядом существенных признаков. К этим существенным признакам на этапе эксплуатации технических и программных средств криптосредства и СФК вполне естественно можно отнести:

нарушителя - субъекта атаки;

объект атаки;

цель атаки;

имеющуюся у нарушителя информацию об объекте атаки;

имеющиеся у нарушителя средства атаки;

канал атаки.

К объектам атак на этом этапе относятся следующие объекты:

документация на криптосредство, на технические и программные компоненты СФК;

криптосредство (программные и аппаратные компоненты криптосредства);

ключевая, аутентифицирующая и парольная информация СКЗИ и СФК;

криптографически опасная информация (КОИ), возникающая в процессе работы СКЗИ и СФК;

технические и программные компоненты СФК;

защищаемая информация (персональные данные и сведения, содержащие налоговую тайну);

данные, передаваемые в каналам связи за пределы контролируемой зоны;

помещения, в которых находятся защищаемые ресурсы информационной системы.

Поэтому модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК будет иметь следующую структуру:

описание нарушителей (субъектов атак);

предположения об имеющейся у нарушителя информации об объектах атак;

предположения об имеющихся у нарушителя средствах атак;

описание каналов атак.

7.1.2 Потенциальные нарушители

Как следует из назначения АИС "Налог" и выполняемых ей функций, обрабатываемая в ней и подлежащая защите информация относится к следующим категориям:

информации конфиденциального характера (информация, составляющая налоговую тайну, персональные данные налогоплательщиков и сотрудников ФНС и др.);

общедоступную информацию, в отношении которой необходимо обеспечивать её целостность и доступность (например, основная часть сведений, включаемых в государственные реестры ЕГРЮЛ, ЕГРИП и ЕГРН).

Выводы раздела 5.3 исключают из числа потенциальных нарушителей информационной безопасности АИС "Налог" специальные службы зарубежных государств. Поэтому в дальнейшем, из рассмотрения исключаются потенциальные нарушители, возможности которых ограничиваются только современным уровнем развития науки и техники.

С учётом изложенного выше к нарушителям безопасности информации в АИС "Налог", следует отнести следующих субъектов:

представителей криминальных структур, осуществляющих атаки на информационные ресурсы АИС "Налог" из корыстных побуждений с преступными целями;

недобросовестных представителей организаций - поставщиков программно-технических средств, расходных материалов, услуг и т.п., а также подрядных организаций, осуществляющих монтаж, пусконаладочные работы оборудования АИС и его ремонт, действующих с корыстными побуждениями с преступными целями;

недобросовестных налогоплательщиков, физических лиц и/или организации, не имеющих удаленного доступа к ИР налоговых органов и действующих из-за пределов КЗ из корыстных побуждений с преступными целями;

недобросовестных налогоплательщиков, физических лиц и/или организации, которым налоговыми органами предоставлен удаленный доступ к ИР, для электронного документооборота и получения информационного обслуживания в автоматическом режиме и действующих из корыстных побуждений с преступными целями;

специалистов в области информационных технологий (профессиональных хакеров), действующих из собственных корыстных или хулиганских побуждений, а также возможно вступивших в сговор с криминальными структурами или, недобросовестными налогоплательщиками (нанятые этими структурами (лицами);

бывших (уволенных) и действующих сотрудников органов ФНС (включая налоговых агентов), а также обслуживающий персонал объектов информатизации, не имеющих доступа в КЗ, возможно вступивших в сговор с криминальными структурами или недобросовестными налогоплательщиками и действующих из корыстных или хулиганских побуждений;

действующих сотрудников органов ФНС (включая налоговых агентов), а также работники из числа обслуживающего персонала, имеющих доступа в КЗ, но не являющихся зарегистрированными пользователями АИС, возможно вступивших в сговор с криминальными структурами или недобросовестными налогоплательщиками и действующих из корыстных или хулиганских побуждений с преступными целями.

При этом любой из перечисленных нарушителей, для достижения целей своей атаки и/или извлечения выгоды от ее осуществления, подготавливая и проводя атакующие действия по отношению к информационным ресурсам АИС "Налог", учитывая криминальный характер совершаемых деяний, должен всегда стремиться скрыть свои несанкционированные действия от лиц, контролирующих соблюдение мер безопасности.

Все лица, имеющие доступ к техническим и программным средствам АИС "Налог", совместно с которыми используются СКЗИ, могут быть отнесены к следующим категориям:

категория I - лица, не имеющие права доступа в контролируемую зону;

категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону.

Все потенциальные нарушители подразделяются на:

внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны;

внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны.

Внешними нарушителями могут быть лица категории I или категории II, внутренними нарушителями могут быть только лица категории II.

Исходя из раздела 6 настоящей работы, недобросовестные налогоплательщики, организации и физические лица, которым налоговыми органами предоставлен удаленный доступ к ИР для электронного документооборота и получения информационного обслуживания в автоматическом режиме, при проведении ими атак с мест доступа к АИС "Налог" должны рассматриваться, несмотря на то, что они действуют из-за пределов контролируемой зоны, как внутренние нарушители. В случае проведения ими атак без использования АРМ доступа к АИС "Налог", они должны рассматриваться как внешние нарушители.

Вместе с тем, очевидно, что подобные нарушители, действуя из корыстных побуждений с преступным умыслом, не заинтересованы в нарушении конфиденциальности своих персональных данных, поскольку и так владеет ими в полной мере. Главными устремлениями данного типа нарушителей должны быть следующие действия:

Модификация или нарушение доступности налоговых данных (своих и/или иных физических лиц и организаций;

Нарушение конфиденциальности налоговых данных иных физических лиц и/или организаций.

7.1.3. Исключения субъектов из числа потенциальных нарушителей

Согласно изложенному в предыдущем разделе, к внешним нарушителям безопасности информации системе обмена информацией между объектами АИС "Налог" могут относиться все перечисленные в пп. а) - в) и д), е) потенциальные нарушители, а также потенциальные нарушители типа г) при условии осуществления ими атак без использования легальных возможностей, предоставляемых удаленным доступом к ИР АИС.

Принципиально, к упомянутым выше в п.п. в) и г) недобросовестным налогоплательщикам, нарушителям безопасности информации в АИС "Налог", могут быть отнесены и российские специализированные организации, профессионально занимающиеся разработкой, анализом и исследованиями шифровальных (криптографических) средств, способные самостоятельно производить лабораторные исследования таких средств и/или средств, обеспечивающих их функционирование, а также разрабатывающие способы атаки на СКЗИ. Вместе с тем, указанные организации осуществляют свою деятельность в области криптографической защиты информации на основании лицензий выдаваемых ФСБ России. Обязательным условием получения лицензий на проектирование СКЗИ, информационно-телекоммуникационных систем и комплексов телекоммуникаций, защищаемых с использование подобных средств, является наличие у предприятия допуска к сведениям, составляющим государственную тайну Российской Федерации. В связи с чем, деятельность специализированных предприятий, профессионально работающих в области криптографической защиты информации, осуществляется под контролем территориальных и специализированных подразделений ФСБ России.

Проведенный анализ показал, что сложность и трудоемкость, а следовательно, стоимость осуществления полноценного криптографического анализа и лабораторных исследований шифровальных средств и программно-аппаратной среды их функционирования таковы, что скрытое проведение указанных работ на специализированных предприятиях промышленности организовать практически невозможно. Кроме того, нелегальное использование и/или передача его результатов иным потенциальным нарушителям безопасности информации неизбежно связаны с разглашением сведений, содержащих государственную тайну. Поэтому представляется маловероятным, чтобы российские специализированные организации, профессионально занимающиеся разработкой, анализом и лабораторными исследованиями шифровальных (криптографических) средств и/или средств, обеспечивающих их функционирование, а также разрабатывающие способы атаки на СКЗИ, являлись потенциальными нарушителями безопасности информации АИС "Налог". По тем же причинам маловероятным представляется участие таких специализированных предприятий в сговоре с другими организациями и физическими лицами, являющими потенциальными нарушителями безопасности информации АИС "Налог" и перечисленными выше в пп. а) - з). Поэтому российские специализированные предприятия, способные самостоятельно проводить лабораторные исследования СКЗИ и/или аппаратно-программных средств, обеспечивающих функционирование последних, при дальнейшем рассмотрении исключаются из числа как внешних, так и внутренних потенциальных нарушителей безопасности информации в АИС "Налог".

В указанных условиях сговор внешних нарушителей любых из перечисленных в разделе 7.1.2 типов между собой не предоставляет им никаких дополнительных возможностей по нарушению безопасности информации в СПД АИС "Налог", помимо тех которыми обладают по отдельности.

Согласно проведенному анализу к внутренним нарушителям безопасности информации АИС "Налог" потенциально могут относиться субъекты информационных отношений, указанные в пп. б), г), и ж). А именно:

Зарегистрированные в качестве легальных пользователей АИС "Налог" налогоплательщики, имеющие удалённый доступ с использованием каналов связи к СВТ при осуществлении атаки с АРМ доступа;

Сотрудники органа ФНС, а также работники из числа обслуживающего персонала, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог";

Недобросовестные представители организаций, поставляющих программно-технические средства, расходные материалы, обеспечивающие сервисное обслуживание СВТ налоговых органов, оказывающие иные услуги и действующие с корыстными целями.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объектов информатизации административных, режимных и организационно-технических мер защиты, направленных:

на предотвращение и пресечение несанкционированных действий администраторов и работников органов ФНС, официально допущенных до ИР АИС "Налог";

на предотвращение и пресечение нарушений порядка допуска и контроля поведения сторонних лиц внутри КЗ;

предотвращение несанкционированного доступа пользователей к информационным ресурсам системы;

контроль за установленным порядком обращения с защищаемой информацией.

К основным мерам защиты, реализованным на типовых объектах информатизации АИС "Налог", относятся следующие:

проверка благонадежности персонала, подбор доверенных лиц на должности администраторов и пользователей АИС;

регулярное проведение с администраторами и пользователями АИС инструктажей и бесед о необходимости соблюдения установленного режима защиты информации и персональных данных, циркулирующих в системе;

проверка полноты и точности анкетных и биографических данных кандидатов на замещения должностей, связанных с обработкой конфиденциальной информацией и персональными данными, изучение их послужного списка и рекомендаций с предыдущих мест работы;

тщательный отбор кандидатов по профессиональным признакам;

установление в трудовых договорах и должностных инструкциях работников, замещающих должности, связанные с обработкой и\или хранением защищаемой информации, личной ответственности за сохранность защищаемых данных и сведений конфиденциального характера и нарушение установленного порядка обращения с ними, а также средствами их защиты;

реализация комплекса мер, направленных на ограничение допуска пользователей и обслуживающего персонала к защищаемым ИР и средствам их защиты, включая разрешительную систему доступа пользователей и обслуживающего персонала в помещения, где размещены ТС АИС и носители персональных данных;

разграничение доступа пользователей, обслуживающего персонала к ИР АИС, ТС и программным средствам обработки, хранения и защиты информации;

регламентация порядка использования СКЗИ и управления ключевой информацией*(3);

осуществление мониторинга и контроля за действиями работников и сторонних лиц, имеющих постоянный или разовый доступ к ИР, ТС АИС и/или в помещения, в которых указанные средства размещены.

С учётом того, что система защиты информации не может обеспечить её защиту от действий, выполняемых в рамках предоставленных субъекту полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации), и исходя из анализа реализованных на типовых объектах информатизации АИС "Налог" административно-организационных мер безопасности в отношении персонала, допущенного для работы в ИС, при построении модели нарушителя использовалось предположение о доверенности администраторов ИС (персонал, обеспечивающий функционирование АИС "Налог") и пользователей ИС, которые являются работниками налоговых органов ИС и имеют санкционированный доступ к защищаемой информации (персональным данным), доступ к ключевой информации, а также обладают знаниями технологии обработки информации и системы принимаемых мер защиты информации.

Доверенность указанных категорий лиц означает, что они не является злоумышленниками, т.е. не предпринимают умышленных действий (бездействия) при выполнении своих должностных обязанностей, могущих привести к реализации угроз безопасности информации. Поэтому в дальнейшем указанные лица не рассматриваются в качестве потенциальных нарушителей.

В соответствии принципом, приведённым в п. 3.4 и подпункте 6) п. 3.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", и в соответствии с изложенными причинами перечисленные категории субъектов (администраторы, зарегистрированные пользователи АИС "Налог", работники подрядных организаций) исключаются из числа потенциальных нарушителей, мотивированных осуществлять деструктивные воздействия (атаки) на криптосредства.

Таким образом, окончательно нарушители безопасности информации, потенциально опасные для рассматриваемых каналов межсетевого обмена между типовыми объектами информатизации АИС "Налог", полностью описаны в Таблице 5.

С учетом изложенного выше, можно сделать вывод о том, что сговор между внешними и внутренними нарушителями не предоставляет им никаких дополнительных возможностей по сравнению с внутренним нарушителем, организующим и проводящим атаки, пользуясь доступом в контролируемую зону.

7.2 Внешние нарушители

7.2.1 Описание внешних нарушителей

К потенциальным внешним нарушителям, в принципе, могут быть отнесены все перечисленные пп. а) - в), д) и е) раздела 7.1.2 виды нарушителей. В соответствии с результатами проведенного на основании "Методических рекомендаций _"*(4) анализа указанные в внешние нарушители не имеет возможности прямого доступа к компонентам основных технических средств системы "Налог" и ее вспомогательным техническим средствам, находящимся в пределах КЗ, и могут осуществлять атаки только с территории, расположенной вне контролируемой зоны, через выходящие за ее пределы каналы связи, а также с использованием технических каналов утечки защищаемой информации. При этом, однако, не исключается возможность их доступа к коммутационным линиям и иному телекоммуникационному оборудованию СПД АИС "Налог" расположенным вне контролируемой зоны объектов информатизации системы.

Среди данного вида нарушителей можно выделить:

представителей криминальных структур;

недобросовестных налогоплательщиков, действующих с корыстными целями, но не имеющих легального удаленного доступа к аппаратно-программным средствам АИС "Налог";

специалистов в области информационных технологий (профессиональных хакеров), действующих в собственных интересах, нанятых криминальными структурами или недобросовестными налогоплательщиками;

уволенных сотрудников ФНС России или уволенных сотрудников организаций, обеспечивающих техническое обслуживание и эксплуатацию АИС "Налог".

Предположения об имеющейся у нарушителя информации об объектах атак

Представители криминальных структур являются наиболее агрессивным источником внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и путем сговора вовлекать в свою деятельность сотрудников органов ФНС всеми доступными им силами и средствами. Однако, как показано в разделах 7.1-7.3 настоящей Модели, принятыми организационно-техническими мерами сговор любых нарушителей с действующими сотрудниками органов ФНС России практически исключён и в принципе не может предоставить им никаких дополнительных возможностей по проведению атак.

Недобросовестные партнеры и уволенные сотрудники для реализации атак могут использовать свои знания о структуре сети, организации работы, защитных мерах и правах доступа и т.п.

Профессиональные хакеры имеют высокую квалификацию и знания об уязвимых местах программных и аппаратных средств.

Внешние нарушители указанных типов могут иметь доступ к любому объему данных, распространяемому, согласно установленному порядку и с помощью штатных средств системы по общедоступным перехватываемым (и/или подверженным иным деструктивным воздействиям) каналам связи, вне зависимости от физических свойств канала вне охраняемой зоны. Также он может располагать определенными фрагментами информации о топологии сети, об используемых коммуникационных протоколах и их сервисах, об особенностях используемого оборудования, системного, прикладного ПО и т.д. в объемах, доступных в свободной продаже.

Внешний нарушитель рассматриваемых типов может располагать отдельными именами зарегистрированных пользователей АИС "Налог" и может вести разведку имен и паролей зарегистрированных пользователей в каналах связи, выходящих за пределы типовых объектов информатизации информационной системы.

Таким образом, суммарные предположения об имеющейся у внешних нарушителей перечисленных выше информации об объектах атаки представлены в Таблице 6.

Вместе с тем нарушителю данного типа недоступны сведения о парольной, аутентифицирующей и ключевой информации (за исключением указанных выше) конкретных зарегистрированных пользователей АИС "Налог".

7.2.2 Предположения об имеющихся у нарушителя средствах атак

Предполагается, что описываемый внешний нарушитель для реализации своих целей может обладать доступными в свободной продаже техническими средствами (ТС) и ПО, как то:

средствами вычислительной техники (СВТ) (аппаратными и программными) общего назначения;

техническими и программными средствами, аналогичными средствам АИС "Налог", включая соответствующие средства каналообразования, маршрутизации и т.д.;

техническими и программными средствами защиты информации, включая СКЗИ, аналогичные используемым в АИС "Налог", и техническую документацию, а также технические и программные средства, входящие в среду функционирования шифровальных средств, с соответствующей технической документацией;

штатные коммуникационные и телекоммуникационные средства АИС "Налог", находящиеся за пределами контролируемой территории;

незарегистрированные носители информации, которые принадлежали зарегистрированным пользователям АИС "Налог" или которые тем или иным способом (подкидывание, дарение и т.д.) навязываются зарегистрированным пользователям системы.

Кроме того, внешние нарушители рассматриваемого типа для реализации атак могут обладать специально разработанными техническими средствами и программами, предназначенными для перехвата, модификации и блокирования информации в общедоступных каналах связи.

7.2.3 Описание каналов атак

Нарушители данного вида могут осуществлять атаки только из-за пределов КЗ через выходящие за пределы КЗ каналы связи:

не защищенные от НСД к информации организационно-техническими мерами каналы связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая СКЗИ.

каналы распространения сигналов, сопровождающих функционирование технических компонентов СКЗИ и его среды функционирования;

штатные коммутационные и телекоммутационные средства, находящиеся за пределами контролируемой зоны типовых объектов информатизации АИС "Налог";

незарегистрированные носители информации, принадлежащие зарегистрированным пользователям АИС "Налог" или которые тем или иным способом (подкидывание, дарение и т.д.) навязываются зарегистрированным пользователям системы;

отчуждаемые носители информации, выведенные установленным порядком из употребления и попавшие за пределы контролируемой зоны типовых объектов информатизации АИС "Налог".

При осуществлении атак нарушители рассматриваемого вида могут:

проводить перехват и последующий анализ данных, циркулирующих по общедоступным каналам связи вне контролируемой зоны;

проводить попытки уничтожения, модификации и блокирования информации, передаваемой, обрабатываемой и хранимой штатными средствами АИС "Налог";

проводить попытки навязывания ложной, а также ранее переданной информации;

проводить попытки внедрения вредоносного ПО, способного воздействовать на работу СКЗИ, среды их функционирования, а также программно-аппаратных средств хранения и обработки ИР АИС "Налог";

проводить атаки с целью вызвать отказы в работе отдельных компонентов АИС "Налог".

С другой стороны, использование нарушителями, не имеющими доступа в КЗ электронных устройств негласного получения информации, маловероятно. Также маловероятно использование иных технических каналов навязывания или осуществления других деструктивных воздействий на информацию.

7.3 Внутренние нарушители

7.3.1 Внутренние нарушители безопасности информации, имеющие доступ в контролируемую зону типовых объектов информатизации АИС "Налог" (описание)

Согласно выводам раздела 7.1.2, к внутренним нарушителям безопасности информации в СПД АИС "Налог", имеющим доступ в контролируемую зону типовых объектов информатизации АИС "Налог" могут относиться следующие лица:

Не являющийся зарегистрированным пользователем АИС "Налог", но имеющий право доступа в контролируемую зону работник сторонней организации, которая поставляет программно-технические средства, расходные материалы и/или обеспечивает сервисное обслуживание СВТ, и/или оказывает иные услуги налоговым органам (нарушитель типа б) Перечня раздела 7.1.2, имеющий доступ в КЗ);

Работник ФНС России, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог" (нарушитель типа ж) Перечня раздела 7.1.2);

Среди сотрудников сторонних организаций (нарушитель типа б) Перечня раздела 7.1.2), имеющие право доступа в КЗ, можно выделить:

персонал, который может иметь доступ в помещения с ТС АИС "Налог" во внерабочее время (вспомогательный персонал сторонних организаций, имеющий доступ в помещения, где установлено ОТСС, а также ВТСС. А именно: охрана, электрики, сантехники и т.д.);

посторонние по отношению к органам ФНС субъекты, в силу служебных обязанностей получившие доступ на типовые объекты информатизации АИС "Налог" (сотрудники государственных надзорных служб, посетители и т.д.), которые могут иметь доступ в КЗ только в рабочее время;

вспомогательный персонал сторонних организаций, который может иметь доступ в помещения с ТС АИС "Налог" только в рабочее время;

технический персонал сервисных (обслуживающих) организаций, осуществляющих внедрение и сопровождение аппаратных и программных средств (включая СЗИ) АИС "Налог", который может иметь доступ только в рабочее.

К работникам налоговых органов, не являющихся зарегистрированными пользователями АИС "Налог", но имеющие право постоянного или разового доступа в КЗ типовых объектов информатизации АИС, относится, в первую очередь, технический и вспомогательный персонал подразделений жизнеобеспечения этих объектов (уборщики, электрики, сантехники, охрана, иные сотрудники), имеющий доступ в помещения, где установлено оборудование ОТСС и/или ВТСС системы. Неконтролируемый доступ к указанным техническим средствам такие нарушители могут осуществлять только во внерабочее время.

Обслуживающий и технический персонал налогового органа, не имеющий легального доступа к ТС и ИР АИС "Налог", но имеющий возможность легально находиться в КЗ в течение внерабочего времени, имеет широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них возможности осуществления прямого физического доступа к ТС АИС и знания ими принимаемых мер защиты. Аналогичными возможностями обладают и сотрудники сторонних организаций, получившие бесконтрольный доступ в контролируемую зону в тот же период времени (перечисленные в п. 1.1) расположенного выше Перечня). Потенциальные возможности внутренних нарушителей этих двух видов практически совпадают. Действия этой группы лиц напрямую связаны с нарушением установленных на типовых объектах АИС "Налог" правил (инструкций) обеспечения безопасности информации, либо указанными лицами непосредственно, либо другими работниками налоговых органов, в чьи обязанности входит контроль за пребыванием посторонних лик и лиц, не допущенных к работе с ТС АИС "Налог", в помещениях, где размещены шифровальные средства, ОТСС и ВТСС системы. По возможным сценариям воздействия рассматриваемые внутренние нарушители (работниками налоговых органов и персонал сторонних организаций, который имеет доступ в помещения, где установлено ОТСС, а также ВТСС АИС), могут быть классифицированы как злоумышленники, то есть лица, которые целенаправленно стараются преодолеть систему защиты и нанести ущерб ИР ФНС.

Нарушители, которые являются сотрудниками сторонних организаций и которые могут находиться в КЗ в рабочее время (перечислены в пп. 1.2), 1.3) и 1.4) расположенного выше перечня), а также работники налоговых органов, не являющиеся легальными пользователями, но могущие находиться в КЗ типовых объектов информатизации АИС "Налог", потенциально имеют больше возможности по получению дополнительной, в том числе криптографически опасной информации, поскольку могут иметь доступ к ОТСС и ВТСС системы в процессе их полноценного функционирования. С другой стороны, это повышает вероятность обнаружения их противоправных действий. Поэтому потенциальные возможности рассматриваемых групп внутренних нарушителей также практически совпадают. И в этом случае действия этой группы лиц напрямую связаны с нарушением установленных на типовых объектах АИС "Налог" правил (инструкций) обеспечения безопасности информации, и нарушители данных групп должны классифицироваться как злоумышленники.

Для пресечения возможных нарушений безопасности информации в СПД АИС "Налог" работниками налоговых органов или персоналом сторонних организаций, перечисленными в пп 1) и 2), которые имеют доступ в КЗ, но не являются пользователями АИС, неконтролируемое перечисленных субъектов на территории, где размещаются компоненты ОТСС и ВТСС информационной системы, в рабочее и/или внерабочее время должно быть исключено комплексом реализованных в типовых объектах АИС "Налог" организационно-технических мер, установленных соответствующими инструктивными и нормативными документами ФНС. В частности, должны быть приняты следующие меры:

доступ посторонних лиц к ИР и программно-техническим средствам АИС "Налог", ограничивается принятыми организационными и/или техническими мерами по обеспечению порядка доступа в помещения, охране территории и организации пропускного режима на объектах, а также внедрением необходимых защитных мер и устройств в оборудование и СВТ;

за деятельностью сотрудников сторонних организаций, а также работников налоговых органов, не являющихся легальными пользователями АИС "Налог", но имеющих доступ в КЗ, в течении их нахождения в контролируемой зоне, как в течение рабочего дня, так и после его окончания, должен осуществляется контроль.

Таким образом, возможности нарушителей безопасности информации в СПД АИС "Налог", рассматриваемых в настоящем разделе типов, существенно ограничиваются принятыми на типовых объектах информатизации АИС "Налог" организационно-техническими мерами по обеспечению порядка доступа в помещения, в которых размещены ОТСС и ВТСС системы, в том числе используемые СКЗИ, а также необходимыми защитными мерами и устройствами, реализованными в оборудовании АИС. Поэтому самостоятельно нарушители рассматриваемого типа могут осуществлять ограниченный набор действий, связанных с попытками доступа к ИР АИС "Налог" через внешние устройства и порты средств обработки информации.

Сговор таких внутренних нарушителей между собой или с любыми внешними нарушителями, с одной стороны, практически не дает преимуществ сговорившимся нарушителям, перед внутренним нарушителем категории II, действующим в одиночку. С другой стороны, повышает вероятность обнаружения их противоправных действий.

7.3.2 Предположения об имеющейся у нарушителя информации об объектах атак

Исходя из дополнительных возможностей, которые дает доступ в КЗ, потенциальные внутренние нарушители, имеющие доступ в КЗ типовых объектов информатизации АИС "Налог" и описанные в предыдущем разделе, дополнительно к информации, которой владеет внешний нарушитель и которая описана в Таблице 6 раздела 7.2.2, могут располагать следующими данными, перечисленными в Таблице 7.

Внутренние нарушители рассматриваемого типа могут также вести разведку паролей зарегистрированных пользователей всеми доступными им методами.

Предполагается, что потенциальный внутренний нарушитель, являющийся сотрудником налоговых органов или работником сторонней организации, и имеющий доступ в КЗ, но не являющийся легальным зарегистрированным пользователями АИС "Налог", дополнительно к средствам осуществления атак, описанным в разделе 7.2.3, может использовать оставленные без контроля штатные программно-технические средства системы, расположенные в контролируемой зоне.

Дополнительно к каналам атак, описанным в разделе 7.2.4, потенциальный внутренний нарушитель, являющийся сотрудником налоговых органов или работником сторонней организации, и имеющий доступ в КЗ, но не являющийся легальным зарегистрированным пользователями АИС "Налог", может для осуществления атак использовать речевой акустический и визуальный каналы, а также физического доступа к оставленным без контроля штатным СВТ АИС "Налог" (внешние устройства и порты средств обработки информации).

7.3.3 Внутренние нарушители, не имеющие доступ в контролируемую зону объектов информатизации АИС "Налог"

Как следует из раздела 7.1.2, к внутренним нарушителям безопасности информации в СПД АИС "Налог", не имеющим доступ в контролируемую зону типовых объектов информатизации АИС "Налог", потенциально относятся недобросовестные налогоплательщики (физические и/или юридические лица), зарегистрированные в качестве легальных пользователей АИС "Налог" и использующие предоставленный им удалённый доступ по засекреченному каналу связи от своего рабочего места до типовых объектов информатизации АИС, перечисленных в разделе 6, для осуществления атак на СКЗИ, эксплуатируемые в составе СПД системы, а также программно-техническую среду их функционирования из корыстных побуждений. Подобные нарушители, действуя на расстоянии со своих автоматизированных рабочих мест и выходя по доверенному каналу в программно-аппаратную среду налоговых органов с целью получения непосредственного доступа в автоматическом режиме к информации, содержащейся в ИР ФНС, в том числе и в федеральных информационных ресурсах, в принципе не могут быть ограничены никакими организационными и техническими мерами защиты, предпринимаемыми на объектах информатизации ФНС.

Согласно результатам раздела 6, указанные недобросовестные налогоплательщики не имеют непосредственного доступа к шифровальным (криптографическим) средства, используемым для защиты информации в СПД АИС "Налог", за исключением СКЗИ, размещаемым на их рабочих местах для организации доверенного канала с налоговыми органами. Также подобные внутренние нарушители безопасности информации, являясь авторизованными пользователями системы, тем не менее не допущены к криптографическим ключам иных пользователей СКЗИ. Поэтому при организации атак на шифровальные средства и среду их функционирования их действия должны быть направлены, в первую очередь на формирование ложных маршрутов пересылки информации в сети, выявление паролей, компрометацию действующей ключевой информации, доступа к налоговой информации о себе и/или аффилированными с ними лицами, а также НДС к налоговой информации иных налогоплательщиков.

Таки образом, основным методом воздействия рассматриваемого внутреннего нарушителя на программно-аппаратные средства налоговых органов должны являться попытки расширения своих полномочий в системе с целью воздействия на СКЗИ и/или среду их жизнедеятельности с тем, чтобы обеспечить их отключение, обход, нарушение функционирования, несанкционированное изменение конфигурации и/или иных выполнение иных деструктивных проявлений.

Для достижения своих целей эти нарушители могут попытаться использовать весь доступный спектр воздействия на базовые и прикладные программные средства АИС "Налог", начиная несанкционированного запуска задач из имеющегося в системе набора, до создания и запуска собственных программ или иного вредоносного кода с новыми функциональными возможностями и попытками перехвата управления системой, в целом.

Сговор таких внутренних нарушителей с внешними нарушителями, возможности которых рассмотрены в разделе 7.2.1 не дает преимуществ сговорившимся нарушителям, перед внутренним нарушителем категории I рассматриваемого вида, действующим в одиночку, поскольку данный нарушитель может также осуществлять атаки информационной системы не только со своего штатного рабочего места, но и из других точек общедоступных телекоммуникационных сетей. Сговор внутреннего нарушителя, являющегося удаленным легальным пользователем ИС "Налог" и не имеющим доступа в КЗ типовых объектов информатизации АИС, с внутренними нарушителями категории II, не являющимися авторизованными пользователями системы, но имеющими доступ в КЗ, дополнительно создает для сговорившихся каналы по физическому доступа к оставленным без контроля штатным СВТ АИС "Налог" (внешние устройства и порты средств обработки информации). Однако, с другой стороны, такой сговор повышает вероятность обнаружения их противоправных действий и ставит под угрозу скрытность действий удаленного нарушителя.

Учитывая изложенное, обоснованным является предположение, что суммарные возможности недобросовестного налогоплательщика, имеющего легальный удаленный доступ к АИС "Налог", соответствуют возможностям нарушителя, являющегося авторизованным пользователем системы, но не обладающего правами на ее администрирование и доступам к действующим ключам шифрования и закрытым ключам электронной подписи.

С учетом изложенного, потенциальные внутренние нарушители, не имеющие доступ в КЗ типовых объектов информатизации АИС "Налог", но являющиеся легальными удаленными пользователями системы, дополнительно к информации, которой владеет внутренний нарушитель категории II, могут располагать перехваченными в АИС "Налог" паролями и идентификаторами других легальных пользователей системы, а также любым объемом открытой информации, передаваемой по шифрованным каналам связи.

Предполагается, что потенциальный внутренний нарушитель, являющийся недобросовестным налогоплательщиком, которому предоставлен удаленный терминальный доступ к АИС "Налог" дополнительно к средствам осуществления атак, описанным в разделе 7.3.1.3, доступные внутреннему нарушителю категории II, может имеющийся у него доверенный канал доступа к программно-техническим средствам системы, связанным с хранением и обработкой ИР.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду раздел 7.2.3

Дополнительно к каналам атак, описанным в разделе 7.3.2. потенциальный внутренний нарушитель, имеющий удаленный доступ к ИР АИС "Налог" по доверенному каналу, но не допущенный в КЗ типовых объектов информатизации, может, с учетом сговора с внутренними нарушителями категории II, использовать для осуществления атак свой доступ к СВТ налоговых органов, обрабатывающие и хранящие ИР ФНС для доступа к критической информации других легальных пользователей системы (за исключением доступа к закрытым ключам шифрования и электронной подписи) и открытой информации, соответствующей передаваемым щифрграммам.

7.3.4 Определение типа нарушителя

В соответствии с документом ФСБ России "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (N 149/54-144, 2008 г.) определение типа нарушителя основывается на анализе его предполагаемых возможностей.

Такой анализ, проведенный в разделе 7.2 настоящей работы по отношению к потенциальным внешним нарушителям безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог" показал, что они нарушители могут быть отнесены к типу Н1 - Н2.

Проведенный в разделе 7.3.1 анализ возможностей внутренних нарушителей безопасности, не являющихся авторизованными пользователями АИС "Налог", но имеющих доступ в контролируемую зону типовых объектов информатизации этой системы, показал, что эти нарушители могут быть отнесены, согласно упомянутого выше нормативного документа, к нарушителям типа Н2.

Описанный в разделе 7.3.2 настоящей работы анализ, возможностей внутренних нарушителей безопасности, являющихся легальными удаленными пользователями ИР, обрабатываемых и хранимых СВТ, размещенных на типовых объектах информатизации АИС "Налог", но не имеющих доступа в контролируемую зону этих объектов, показал, что эти нарушители, с учетом возможного сговора с другими нарушителями, могут быть отнесены к типу Н3.

Следовательно, криптографические средства защиты информации, используемые для защиты конфиденциальных и иных охраняемых в соответствии с законодательством Российской Федерации сведений, в том числе персональных данных, передаваемых по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", должны обеспечивать криптографическую защиту по уровню не ниже уровня КС3.

Вместе с тем, как видно из проведенных в разделе 7.3 рассуждений, исключение из списка потенциальных нарушителей безопасности защищаемой информации, передаваемой по перехватываемым общедоступным линиям связи между типовыми объектами АИС "Налог" недобросовестных налогоплательщиков, подключаемых удаленно по доверенным каналам к ИР налоговых органов, в соответствии с нормами и требованиями "Методическими рекомендациями по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", приведет к устранение возникающих из-за такого подключения угроз и, в принципе, позволит переклассифицировать нарушителя безопасности для рассматриваемой информационно-телекоммуникационной системы по более низкому типу Н2. Учитывая, что упомянутые "Методические рекомендации _" ФНС России не конкретизируют порядок формирования ответов на запросы налогоплательщиков в автоматическом режиме из ИР налогового ведомства, представляется целесообразным рассмотреть возможности по изданию нового руководящего документа по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании последних в электронном виде, который исключал бы возможность прямого доступа налогоплательщиков к федеральным и/или ведомственным информационным ресурсам. Альтернативой изданию нового нормативного акта по данному вопросу может также явиться издание дополнения к "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", разъясняющего и конкретизирующего положения пп. 2.7, 2.8 и 2.9 этому документу указанным выше образом.

VIII. Заключение

В связи с введением в действие Федеральной налоговой службой в течение 2009 - 2011 годов ряда нормативных методических документов, устанавливающих порядок организации взаимодействия между налоговыми органами и налогоплательщиками в электронном виде по телекоммуникационным каналам связи, разработанные ранее Частные модели угроз и нарушителей безопасности персональных данных при их обработке в информационных системах персональных данных типовых объектов информатизации могли утратить актуальность и требуют доработки.

На основании приведённого в разделе 6 дополнительного анализа угроз безопасности информации, обрабатываемой на типовых объектах информатизации, и результатов проведенного в разделе 7 моделирования возможностей и характеристик нарушителя безопасности информации, передаваемой по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", можно сделать выводы о том, что основными угрозами безопасности защищаемым сведениям при этом являются:

Со стороны потенциального внешнего нарушителя:

перехват и последующий анализ информации, в том числе персональных данных, циркулирующей между типовыми объектами информатизации АИС "Налог";

попытки уничтожения, модификации и блокирования информации, в том числе персональных данных, циркулирующей между типовыми объектами информатизации АИС "Налог";

попытки навязывания ложной информации, в том числе ложных персональных данных;

попытки преодоления подсистемы криптографической защиты информации, реализованной в АИС "Налог";

попытки атак с целью вызвать отказы в работе доступных компонент АИС "Налог".

Со стороны потенциального внутреннего нарушителя:

попытки расширения своих полномочий и воздействия на СКЗИ (для их отключения, обхода, нарушения функционирования, несанкционированного изменения конфигураций или иных деструктивных воздействий) с использованием оставленных без присмотра штатных программных и технических средств, а также возможного легального удаленного доступа недобросовестных налогоплательщиков к СВТ АИС "Налог", направленные на нарушение конфиденциальности, целостности или доступности обрабатываемых, хранимых и предаваемых защищаемых сведений, в том числе персональных данных;

нарушения установленных режимных и организационно-технических мер, а также регламентов проводимых работ, которые могут влиять на состояние защищённости информации в АИС "Налог", в том числе на состояние защищенности персональных данных, содержащихся в ИР налоговых органов.

В результате проведенного в разделе 7 моделирования возможных деструктивных действий потенциальных нарушителей безопасности информации, передаваемой по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", сделан вывод о том, что его возможности соответствуют возможностям типу Н3, согласно "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" ФСБ России.

Криптографические средства защиты информации, используемые для защиты конфиденциальных и иных охраняемых в соответствии с законодательством Российской Федерации сведений, в том числе персональных данных, передаваемых по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", должны обеспечивать криптографическую защиту по уровню не ниже уровня КС3.

РИС. 1 ПРИЛОЖЕНИЯ 2 К ПРИКАЗУ ФНС РОССИИ ОТ 21.12.2011 N ММВ-7-4/959@

Таблица 1.

Состав типовых объектов обработки данных ФНС России

N п/п	Наименование типовых объектов	Применяемые технологии информационного взаимодействия
1.	Узел обработки данных подразделений федерального уровня (ЦА, МРИ КНП)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA).
2.	Федеральный центр обработки данных (ФЦОД)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
3.	Узел обработки данных регионального уровня (УФНС, МИФО)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
4.	Региональный центр обработки данных (МИЦОД, УФНС)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
5.	Узел обработки данных местного уровня (ИФНС, МИКНП)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами на магнитных носителях в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
6.	Территориально-обособленное рабочее место работника налогового органа	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML)
7.	Удаленный терминал доступа налогоплательщика	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML)

Таблица 2. Характер информационных ресурсов, обрабатываемых на объектах АИС "Налог" по степени ограничения доступа к ним

Вид ИР	Характер ИР (степень конфиденциальности ИР)
Вид ИР	Общедоступные	Персональные данные	Налоговая тайна
Информационные ресурсы по государственной регистрации и учету юридических и физических лиц	+ (основная часть)	+ (частично)	-
Информационные ресурсы по формам налоговой отчетности, ежегодно утверждаемым приказом ФНС России	+ (частично)	+ (частично)	+ (частично)
Информационные ресурсы, формируемые на основе сведений, получаемых из внешних источников	+	-	-
Вспомогательные информационные ресурсы	+	+ (частично)	+ (частично)

Таблица 3

N п/п	Перечень основных угроз		Возможные последствия
1.	Угроза "Анализа сетевого трафика"		Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2.	Сканирование сети		Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3.	Внедрение ложных сведений о субъекте ПДн (Работниках органов ФНС, налогоплательщиках и т.д.)		Перехват и просмотр трафика. НСД к сетевым ресурсам, навязывание ложной информации.
4.	Угроза подмены доверенного объекта		Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных. НСД к сетевым ресурсам, навязывание ложной информации.
5.	Навязывание ложного маршрута сети, в том числе с обходом средств защиты информации		Несанкционированное изменение маршрутно-адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6.	Угрозы выявления пароля		Выполнение любого действия, связанного с получением НСД
7.	Угрозы внедрения по сети вредоносных программ		Нарушение конфиденциальности, целостности и доступности обрабатываемой в АИС информации.
8.	Угрозы удалённого запуска приложений	Путём рассылки файлов, содержащих деструктивный исполняемый код	Нарушение конфиденциальности, целостности и доступности обрабатываемой в АИС информации.
9.		Путём переполнения буфера серверного приложения
10.		Путём использования возможностей удалённого управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами	Скрытое управление АИС
11.	Отказ в обслуживании	Частичное исчерпание ресурсов	1. Снижение пропускной способности каналов связи, производительности сетевых устройств. 2. Снижение производительности серверных приложений.
12.		Полное исчерпание ресурсов	Невозможность передачи сообщений из-за отсутствия доступа к среде передачи, отказ в установления соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.)
13.		Нарушение логической связности между атрибутами, данными, объектами	1. Невозможность передачи сообщений из-за отсутствия корректных маршрутно-адресных данных. 2. Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
14.		Использование ошибок в ПО	Нарушение работоспособности сетевых устройств.
15.	Воздействие на применяемые СЗИ		Нарушение конфиденциальности, целостности и доступности путем отключения (модификации) механизмов защиты или изменения полномочий пользователей
16.	Угрозы, реализуемые в ходе загрузки ОС		Перехват паролей или идентификаторов, модификация базовой системы ввода/вывода (BIOS), перехват управления загрузкой
17.	Угрозы, реализуемые после загрузки ОС		Выполнение НСД к обрабатываемой в АИС информации (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.), ОС или какой-либо прикладной программы (например, СУБД), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)
18.	Использование нештатного ПО		Создание предпосылок и условий дальнейшей реализации угроз, отключение механизмов защиты.

Актуальные угрозы безопасности информации

Типовые объекты АИС "Налог"

N
п/п

Наименование

Типовой объект информатизации МРИ ФНС России по КН и ИФНС

Типовой объект информатизации МИ ФНС России по КН

Типовой объект информатизации МИ ФНС России по ФО

Типовой объект информатизации МИ ФНС России по ЦОД

Типовой объект информатизации МРИ ФНС России по ЦОД

Типовой объект информатизации ЦА ФНС России

Типовой объект информатизации УФНС России

Угроза НСД с применением стандартных функций операционной системы.

Угроза НСД с помощью прикладной программы.

Угроза НСД при передаче информации по общедоступным каналам связи.

Угроза утечки информации при удаленном доступе к информационным ресурсам.

Угроза утечки информации с использованием копирования ее на съемные носители.

Угроза утечки данных посредством печати информации, содержащей персональные данные.

Угроза внедрения вредоносных программ с использованием съемных носителей.

Угроза "Анализа сетевого трафика".

Угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных.

10.

Угроза перехвата и взлома паролей.

11.

Угроза подбора паролей доступа.

12.

Угрозы внедрения троянских программ.

13.

Угроза удаленного запуска приложений с использованием средств удаленного управления.

Таблица 5

Вид нарушителя

Категория I

Категория II

Внешний

Внешний нарушитель, не имеющий прав доступа в контролируемую зону и не имеющий легального удаленного доступа с использованием каналов связи к СВТ АИС "Налог", относящийся к типам а) - в), д) и е) Перечня раздела 7.1.2.

Внутренний

Зарегистрированный в качестве легального пользователя АИС "Налог" налогоплательщик, имеющий удалённый доступ с использованием каналов связи к СВТ при осуществлении атаки с АРМ доступа, относящийся к типу г) Перечня раздела 7.1.2.

Сотрудник органа ФНС, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог", относящийся к типу ж). Перечня раздела 7.1.2

Работник сторонней организации, поставляющей программно-технические средства, расходные материалы, и/или обеспечивающей сервисное обслуживание СВТ налоговых органов, и/или оказывающие иные услуги, имеющий доступ в КЗ и относящийся к типу б) Перечня раздела 7.1.2.

Таблица 6

N п/п	Информация о системе	Предположения о наличии информации
1.	Общие сведения о СПД АИС "Налог" (оператор, объекты информатизации, входящие в систему, места размещения ИР и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
2.	Общие сведения о защищаемой с использованием СКЗИ информации (виды информации: служебная, парольная, аутентифицирующая, конфигурационная, управляющая и т.д., характеристики каждого вида информации и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
3.	Данные об административных, режимных и организационно-технических мерах защиты информации, реализованных на ОИ АИС "Налог"	Вероятно для нарушителей типа а) - в), д), е)
4.	Данные об организации работы, структуре и используемых технических, программных и программно-технических средствах АИС "Налог" (используемые ОС, СУБД, прикладное ПО, аппаратные платформы и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
5.	Сведения об информационных ресурсах АИС "Налог": порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков	В полном объеме маловероятно для нарушителей типа а) - в) и д)
5.		Вероятно для нарушителей типа е)
7.	Сведения о физических мерах защиты объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
7.		Вероятно для нарушителей типа е)
9.	Сведения о мерах по обеспечению защиты контролируемой зоны объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
9.		Вероятно для нарушителей типа е)
11.	Сведения о мерах по ограничению доступа в помещения объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
11.		Вероятно для нарушителей типа е)
13.	Сведения о программном обеспечении СВТ, используемых в типовых объектов ФНС совместно СКЗИ	Вероятно для нарушителей типа а) - в), д) и е)
14.	Описания используемых в шифровальных (криптографических) средствах алгоритмов и протоколов, содержание документации на технические и программные компоненты СКЗИ и среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
15.	Сведения о линиях связи, по которым передается защищаемая с использованием СКЗИ информация	Вероятно для нарушителей типа а) - в), д) и е)
16.	Всеми данными, передаваемыми по каналам связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, (незашифрованные адреса, команды управления и т.д.)	Вероятно для нарушителей типа а) - в), д) и е)
17.	Сведения обо всех проявляющихся в каналах связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, неисправностях, сбоях и т.д. в работе СКЗИ и среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
18.	Сведения обо всех проявляющихся в каналах связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, нарушениях правил эксплуатации СКЗИ среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
19.	Сведения, получаемые в результате анализа любых сигналов от технических средств, которые может перехватить нарушитель за пределами контролируемой зоны	Вероятно для нарушителей типа а) - в), д) и е)

Таблица 7

N п/п	Информация о системе	Предположения о наличии информации
1.	Сведения об именах (логинах) зарегистрированных пользователей АИС "Налог"	Вероятно
2.	Сведения об организации работы пользователей, порядке и правилах создания, хранения и передачи информации	Вероятно
3.	Сведения, доступные с использованием речевого акустического и визуального каналов	Вероятно
4.	Сведения, получаемые путем физического доступа к оставленным без контроля носителям информации и техническим средствам АИС	Вероятно

______________________________

*(1) "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22 июня 2011 г. N ММВ-7-6/381@)

*(2) Письмо Минфина России от 21.09.2010 г. N 03-02-08/52 о разъяснении вопроса о направлении налоговым органом в адрес контрагента сведений о налогоплательщике.

*(3) Приказ ФНС России от 31 октября 2008 г. N ММ-3-6/546@ "Об утверждении Типового порядка использования средств криптографической защиты информации и управления ключевой информацией в территориальном налоговом органе".

*(4) "Методические рекомендации по обеспечению с помощью криптосредств безопасности информации при их обработке в информационных системах информации с использованием средств автоматизации" (N 149/54-144, 2008 г.)

*(5) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, подраздел 3.1, п. 7.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "подраздел 3.1, п. 6"

*(6) Руководящий документ "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г., раздел 4 "Модель нарушителя в АС".

*(7) Рекомендуется при отнесении нарушителя к типу согласовывать модель нарушителя с ФСБ России.

Приложение А. Описание методологии формирования модели нарушителя

<< Приложение N 1. Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных...		Приложение >> А. Описание методологии формирования модели нарушителя
	Содержание Приказ Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@ "Об обеспечении безопасности персональных данных...

Приложение N 2. Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог"

ГАРАНТ:

ГАРАНТ:

Приложение А. Описание методологии формирования модели нарушителя

Откройте актуальную версию документа прямо сейчас