Угрозы безопасности персональных данных при их обработке в информационных системах


Согласно пункту 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается:

Угроза безопасности информационной системы - это возможные воздействия на информационную систему, которые прямо или косвенно могут нанести ущерб ее безопасности.

Уязвимость информационной системы – это характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.

Атака - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.

Атака - это реализация угрозы безопасности.

Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС является их обязательная идентификация, а именно:

Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков.

Каждый признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.

Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:

Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.

Анализ угроз ПДн по базовым признакам ведется по ГОСТ Р51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». Общий перечень возможный угроз.

Внутренние факторы:

Внешние факторы:

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.


Классификация угроз безопасности ПДн


По виду защищаемой от угроз ПДн информации, содержащей ПДн:


По видам возможных источников угроз ПДн:




По способу реализации угроз ПДн (специальные воздействия):





По виду нарушаемого свойства информации:



По используемой уязвимости:



По объекту воздействия:



Угрозы безопасности ПДн при их обработке в ИСПДн


«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн.

Угрозы безопасности ПДн определяются с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.

К характеристикам ИСПДн можно отнести:

Основными элементами ИСПДн являются:

  1. Персональные данные, содержащиеся в базе данных, как совокупность информации и ее источников, используемых в ИСПДн.
  2. Информационные технологии, как совокупность приемов,способов и методов применения средств вычислительной техники при обработке ПДн.
  3. Технические средства, осуществляющие обработку ПДн.
  4. Программные средства (операционные системы, прикладное ПО, СУБД).
  5. Средства защиты информации.
  6. ВТСС.

Возможности источников угроз безопасности ПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

Угроза безопасности ПДн реализуется в результате образования канала реализации угрозы между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Источниками информации в общем случае являются:


Угрозы утечки информации по техническим каналам


Источниками угроз утечки информации по техническим каналам являются:

При обработке ПДн в ИСПДн за счет реализации технических каналов утечки информации возможно возникновение следующих угроз ПДн:

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн в ИСПДн или функцией воспроизведения ПДн акустическими средствами ИСПДн.

Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн.

Подробно про технические каналов утечки информации можно прочитать в материале "Защита информации от утечки по техническим каналам"


Угрозы НСД к информации в ИСПДн


Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств:

Источниками угроз НСД в ИСПДн могут быть:

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер, например:

Уязвимость информационной системы персональных данных - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным. Причинами возникновения уязвимостей являются:

Под программным (программно-математическим) воздействием понимается несанкционированное воздействие, осуществляемое с использованием вредоносных программ (программ с потенциально опасными последствиями).

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы автоматизированной информационной системы.

Программно-математические воздействия относятся к преднамеренным угрозам безопасности информации (ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.)

Помимо перечисленных, можно выделить также:

  1. Анализ сетевого трафика (исследование характеристик сетевого трафика, перехват данных, идентификаторов и паролей)
  2. Сканирование сети (определение протоколов, доступных портов, паролей)
  3. Угроза выявления пароля (атака с целью получения НСД к информации)
  4. Подмена доверенного объекта сети (изменения пути прохождения сообщений, НСД к сетевым ресурсам)
  5. Навязывание ложного маршрута сети (изменение маршрутно-адресных данных, навязывание ложных сообщений)
  6. Внедрение ложного объекта сети (перехват и просмотр трафика)
  7. Отказ в обслуживании (снижение пропускной способности канала, отказ в установлении соединения, нарушение работы сетевых ресурсов)
  8. Удаленный запуск приложений (скрытое управление системой)

Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн


Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, указывает на присутствие данной угрозы.

Формирование перечня угроз производится на основе:

Согласно методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 14.02.2008) на основании перечня угроз формируется перечень актуальных угроз безопасности ПДн.


Порядок определения актуальных угроз безопасности ПДн


Актуальной считается угроза, которая:

  1. Может быть реализована в ИСПДн
  2. Представляет опасность ПДн (наносит существенный ущерб)

Для оценки возможности реализации угрозы применяются два показателя:

Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.

Вероятность реализации угрозы – это определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.


Определение уровня исходной защищенности ИСПДн (Y1):


Технические и эксплуатационные характеристики ИСПДн Уровень защищенности
Высокий Средний Низкий
1. По территориальному размещению:
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; - - +
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); - - +
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; - + -
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; - + -
локальная ИСПДн, развернутая в пределах одного здания + - -
2. По наличию соединения с сетями общего пользования:
ИСПДн, имеющая многоточечный выход в сеть общего пользования; - - +
ИСПДн, имеющая одноточечный выход в сеть общего пользования; - + -
ИСПДн, физически отделенная от сети общего пользования + - -
3. По встроенным (легальным) операциям с записями баз персональных данных:
чтение, поиск; + - -
запись, удаление, сортировка; - + -
модификация, передача - - +
4. По разграничению доступа к персональным данным:
ИСПДн, к которой имеют доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; - + -
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; - - +
ИСПДн с открытым доступом - - +
5. По наличию соединений с другими базами ПДн иных ИСПДн:
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) - - +
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн + - -
6. По уровню (обезличивания) ПДН:
ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне оранизации, отрасли, области, региона и т.д.) +
ИСПДн в которой данные обезличиваются только при передаче в другие организации и не обесличены при предоставлении пользователю в орагнизации +
ИСПДн в которой предоставляемые пользователю данные не являются обезличенными (то есть присутствует информация, позволяющая идентифицировать субъекта ПДн) +
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
ИСПДн, предоставляющая всю БД с ПДн - - +
ИСПДн, предоставляющая часть ПДн - + -
ИСПДн, не предоставляющие никакой информации + - -


Определение вероятности реализации угрозы (Y2)


  1. Маловероятно (0) – отсутствуют объективные предпосылки для осуществления угрозы
  2. Низкая вероятность (2) – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию
  3. Средняя вероятность (5) – объективные предпосылки для реализации угрозы существует, но принятые меры обеспечения безопасности ПДн недостаточны
  4. Высокая вероятность (10) – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты

Возможность реализации (коэффициент реализуемости) угрозы Y определяется как


Y=(Y1+Y2)/20

По значениям коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:

- если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы низкая;

- если 0,3 < Y ≤ 0,6, то возможность реализации угрозы средняя;

- если 0,6 < Y ≤ 0,8, то возможность реализации угрозы высокая;

- если Y > 0,8, то возможность реализации угрозы очень высокая

Оценка опасности конкретной угрозы определяется на основе опроса экспертов и специалистов ИСПДн в виде вербального показателя опасности:

  1. Низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн
  2. Средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн
  3. Высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн

Правила отнесения угрозы безопасности ПДн к актуальной показаны на рисунке:



Модель угроз и модель нарушителя в соответствии с требованиями ФСТЭК России


Модель угроз безопасности ПДн при их обработке в ИСПДн содержит систематизированный перечень угроз безопасности ПНд при их обработке в ИСПДн.

В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угроз безопасности ПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.

Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Модели угроз, необходимо уточнять и дополнять по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн.

В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн:

Типовые угрозы никак не привязаны к уровням защищенности ИСПДн, а привязаны только к особенностям построения ИСПДн. Поэтому необходимо на основе типовых моделей формировать частные модели угроз для каждой ИСПДн. При формировании частных моделей угроз наборы угроз типовых моделей могут быть детализированы, дополнены, а также сокращен за счет применения методики актуализации угроз. Кроме того, в типовой модели не определено, как модель угроз связана с моделью нарушителя и как для актуальных угроз должны быть назначены меры и средства защиты из перечня мер для соответствующего уровням защищенности ИСПДн.


Модель нарушителя


Нарушитель - любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей, или снижения доступности ресурсов информационной системы и сетевых ресурсов для законных пользователей. (ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции)

Модель нарушителя включает в себя описание о вероятных категориях лиц, к которым может принадлежать нарушитель, мотивах действий нарушителя и преследуемых им целях, квалификации нарушителя, его технической оснащенности, используемых им методах и средствах и о характере возможных действий.

Модель нарушителя безопасности ПДн ФСТЭК России:

Под нарушителем понимается физическое лицо (лица), случайно или преднамеренно совершающие действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн. («Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»).

По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:

  1. Нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и сетей международного информационного обмена – внешние нарушители.
  2. Нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн – внутренние нарушители.

Потенциальными внутренними нарушителями являются:

Потенциальными внешними нарушителями считаются:

Основными мотивами совершения нарушений являются:

Перейдем к классификации нарушителей.

По уровню знаний:

  1. Знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами.
  2. Обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания.
  3. Обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации АИС.
  4. Знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны/

По уровню возможностей:

  1. Применяющий агентурные методы.
  2. Применяющий пассивные средства перехвата (без модификации компонентов системы).
  3. Использующих только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств).
  4. Применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок, использование специальных программ и технологий.)

По времени действия:

  1. В процессе функционирования АС (во время работы компонентов системы).
  2. В период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта).
  3. В процессе функционирования АС (во время период неактивности компонентов системы).

По месту действия:

  1. Без доступа на контролируемую территорию.
  2. С контролируемой территории без доступа в здание.
  3. Внутри помещений, но без доступа к техническим средствам АС.
  4. С рабочих мест конечных пользователей АС.
  5. С доступом к данным (БД, архивы).
  6. С доступом к управлению средствами защиты информации.

По цели совершения нарушений:

  1. Получение конфиденциальной информации (по отдельным или всем субъектам ПДн) из ИСПДн.
  2. Модификация (удаление, добавление, фальсификация) сведений (по отдельным или всем субъектам ПДн) в ИСПДн.
  3. Нарушение процессов обработки ПДн (полное или частичное нарушение работоспособности ИСПДн).

При анализе актуальных угроз конкретным ПДн целесообразно по каждой цели сделать предположения о том, кому (субъект), зачем (мотив) и в какой мере (вероятность действия) это нужно.

Внешними нарушителями согласно ФСТЭК России являются:

  1. Разведывательные службы государств.
  2. Криминальные структуры.
  3. Конкуренты.
  4. Недобросовестные партнеры.
  5. Физические лица.

Перечисленные нарушители могут иметь следующие возможности:

Внутренними нарушителями в зависимости от способа доступа и полномочий доступа к ПДн согласно ФСТЭК России являются:

  1. Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн.
  2. Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.
  3. Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным или распределенным информационным системам.
  4. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн.
  5. Зарегистрированные пользователи с полномочиями системного администратора ИСПДн.
  6. Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.
  7. Программисты-разработки (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.
  8. Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.

Построение Модели угроз ПДн в соответствии с требованиями ФСБ России


Построение Модели угроз осуществляется на основе:

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средств).

Необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных.

Соотношение моделей угроз ФСТЭК России и ФСБ России:

В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.

В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.

По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании настоящих методических документов ФСБ России.

Обобщенные возможности источников атак:


Обобщенные возможности источников атак Да/нет
1 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны
2 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования
3 Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования
4* Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)
5* Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)
6* Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ)

Атаки и нарушители


Все возможные атаки определяются моделью нарушителя. Модель нарушителя тесно связана с моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие.

В модели угроз содержится максимально полное описание угроз безопасности объекта.

Модель нарушителя cодержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:

Существует шесть основных типов нарушителей: Н1, Н2-Н6.

Все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:

категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;

категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.

Все потенциальные нарушители подразделяются на:

  1. внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы, могут быть как лица категории I, так и лица категории II;
  2. внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы, могут быть только лица категории II.

Н1-Н2 - располагают только доступными в свободной продаже аппаратными компонентами криптосредства

Н2- Н6 – могут находится в момент атаки в КЗ

Н3-Н6 – могут быть известны все сети связи, работающие на едином ключе

Н4-Н6 – находящие в сговоре нарушители

Н5-Н6 – могут ставит работы по созданию способов и средств атак в научно-исследовательских центрах


Угрозы, не являющиеся атаками

Применение СКЗИ для обеспечения безопасности ПДн необходимо, если:

Угрозы, которые могут быть нейтрализованы только с помощью СКЗИ:

Условия применения СКЗИ: