Согласно пункту 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается:
• определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
• применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
Угроза безопасности информационной системы - это возможные воздействия на информационную систему, которые прямо или косвенно могут нанести ущерб ее безопасности.
Уязвимость информационной системы – это характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Атака - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.
Атака - это реализация угрозы безопасности.
Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС является их обязательная идентификация, а именно:
• перечень возможных угроз информационной безопасности
• оценки вероятностей их реализации
• модель нарушителя
Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков.
Каждый из признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.
Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:
• архитектура современных средств автоматизированной обработки информации,
• организационное, структурное и функциональное построение информационно-вычислительных систем и сетей,
• технологии и условия автоматизированной обработки информации такие, что накапливаемая, хранимая и обрабатываемая информация подвержена случайным влияниям чрезвычайно большого числа факторов. В силу этого становится невозможным формализовать задачу описания полного множества угроз.
Как следствие, для защищаемой системы определяют не полный перечень угроз , а перечень классов угроз.
Анализ угроз ПДн по базовым признакам ведется по ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». Общий перечень возможный угроз.
Внутренние факторы:
• Передача сигналов по линиям связи;
• Излучения сигналов (акустических, электромагнитных);
• Побочные электромагнитные излучения;
• Паразитное электромагнитное излучение;
• Наводки в линиях связи, цепях электропитания, заземления;
• Дефекты, сбои, отказы и аварии технических средств;
• Дефекты, сбои, отказы и аварии программного обеспечения;
• Разглашение защищаемой информации лицами, не имеющими права доступа к ней;
• Передача защищаемой информации по открытым каналам связи;
• Обработка информации на незащищенных технических средствах;
• опубликование информации в открытой печати и СМИ;
• копирование информации на незарегистрированный носитель информации;
• передача носителя информации лицам, не имеющим права доступа к ней;
• утрата носителя информации;
• несанкционированное изменение информации;
• НСД к информации путем:
- подключения к техническим средствам;
- использования закладных устройств;
- использования дефектов и уязвимостей ПО;
- внесение программных закладок;
- применения вирусов;
• хищение носителя информации;
• нарушение функционирования технических средств;
• несоблюдение требований по защите информации;
• ошибки обслуживающего персонала.
Внешние факторы:
• Явления техногенного характера (непреднамеренное электромагнитное облучение объекта информатизации, радиационное облучение, сбои, отказы и аварии);
• Природные явления, стихийные бедствия:
- Термические факторы (пожары, заморозки)
- Климатические факторы (наводнения, ураганы, сели, лавины)
- Механические (землетрясения)
- Электромагнитные (грозовые разряды)
- Биологические (микробы, грызуны)
- Химические (агрессивные среды)
• разведка (радиоэлектронная, оптико-электронная, фотографическая, визуально-оптическая, акустическая, гидроакустическая, техническая компьютерная)
• Блокирование доступа к информации путем перегрузки технических средств ложными заявками на обработку;
• Действия криминальных групп (диверсии на объектах информатиза-ции)
• Искажение, уничтожение или блокирование информации с применением силового электромагнитного воздействия, компьютерных или сетевых атак.
• Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
• по виду защищаемой от угроз ПДн информации, содержащей ПДн;
• по видам возможных источников угроз ПДн;
• по типу ИСПДн, на которые направлена реализация угроз ПДн;
• по способу реализации угроз ПДн;
• по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
• по используемой уязвимости;
• по объекту воздействия.
По видам возможных источников угроз ПДн
По способу реализации угроз ПДн (специальные воздействия)
По виду нарушаемого свойства информации
По используемой уязвимости
По объекту воздействия
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн.
Угрозы безопасности ПДн определяются с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.
Характеристики ИСПДн:
• объем обрабатываемых в ИСПДн персональных данных;
• структуру ИСПДн;
• наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
• подсистемы безопасности ПДн;
• режимы обработки ПДн;
• режимы разграничения прав доступа пользователей ИСПДн;
• местонахождение и условия размещения технических средств ИСПДн.
Основными элементами ИСПДн являются:
• Персональные данные, содержащиеся в базе данных, как совокупность информации и ее источников, используемых в ИСПДн;
• Информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
• Технические средства, осуществляющие обработку ПДн;
• Программные средства (операционные системы, прикладное ПО, СУБД);
• Средства защиты информации;
• ВТСС.
Возможности источников угроз безопасности ПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.
Угроза безопасности ПДн реализуется в результате образования канала реализации угрозы между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Источниками информации являются:
• Речь
• Электромагнитные поля
• Электрические сигналы
• Визуальная информация
• Бит, байт, файлы и другие логические структуры
Источниками угроз утечки информации по техническим каналам являются:
• физические лица, не имеющие доступа к ИСПДн;
• зарубежные спецслужбы;
• организации (в том числе террористические);
• криминальные группировки.
При обработке ПДн в ИСПДн за счет реализации технических каналов утечки информации возможно возникновение следующих угроз ПДн:
• угроз утечки акустической (речевой) информации;
• угроз утечки видовой информации;
• угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН).
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, обусловлено наличием функцийголосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.
Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств сэкранов дисплеев и другихсредств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической , видео- и буквенно-цифровой информации, входящих в состав ИСПДн.
Возникновение угрозы ПДн по каналам ПЭМИН возможно за счетперехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн.
Подробно про технические каналов утечки информации можно прочитать в материале "Защита информации от утечки по техническим каналам"
Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств:
• угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
• угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;
• угрозы внедрения вредоносных программ (программно-математического воздействия).
Источниками угроз НСД в ИСПДн могут быть:
• нарушитель;
• носитель вредоносной программы;
• аппаратная закладка.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Например:
• отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
• встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода);
• микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Уязвимость информационной системы персональных данных - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным. Причинами возникновения уязвимостей являются:
• ошибки при проектировании и разработке ПО;
• преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки ПО;
• неправильные настройки ПО, неправомерное изменение режимов работы устройств и программ;
• несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
• внедрение вредоносных программ, создающих уязвимости в ПО;
• несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
• сбои в работе аппаратного и ПО (вызванные сбоями в электропитании, выходом из строя аппаратных элементов, внешними воздействиями электромагнитных полей технических устройств и др.).
Под программным (программно-математическим) воздействием понимается несанкционированное воздействие, осуществляемое с использованием вредоносных программ (программ с потенциально опасными последствиями).
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы автоматизированной информационной системы.
Программно-математические воздействия относятся к преднамеренным угрозам безопасности информации.
(ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.)
Помимо перечисленных, можно выделить также:
• Анализ сетевого трафика (исследование характеристик сетевого трафика, перехват данных, идентификаторов и паролей)
• Сканирование сети (определение протоколов, доступных портов, паролей)
• Угроза выявления пароля (атака с целью получения НСД к информации)
• Подмена доверенного объекта сети (изменения пути прохождения сообщений, НСД к сетевым ресурсам)
• Навязывание ложного маршрута сети (изменение маршрутно-адресных данных, навязывание ложных сообщений)
• Внедрение ложного объекта сети (перехват и просмотр трафика)
• Отказ в обслуживании (снижение пропускной способности канала, отказ в установлении соединения, нарушение работы сетевых ресурсов)
• Удаленный запуск приложений (скрытое управление системой)
Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, указывает на присутствие данной угрозы.
Формирование перечня угроз производится на основе:
• Перечня источников угроз (путем опроса специалистов);
• Перечня уязвимых звеньев (по результатам сканирования узлов);
• Перечня технических каналов утечки информации (по результатам обследования).
Согласно методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 14.02.2008) на основании перечня угроз формируется перечень актуальных угроз безопасности ПДн.
Актуальной считается угроза, которая:
• Может быть реализована в ИСПДн
• Представляет опасность ПДн (наносит существенный ущерб)
Для оценки возможности реализации угрозы применяются два показателя:
• уровень исходной защищенности ИСПДн
• частота (вероятность) реализации рассматриваемой угрозы.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.
Вероятность реализации угрозы – это определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Определение уровня исходной защищенности ИСПДн (Y1)
|
Технические и эксплуатационные характеристики ИСПДн |
Уровень защищенности |
||
|
Высокий |
Средний |
Низкий |
|
|
1. По территориальному размещению: |
|||
|
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; |
– |
– |
+ |
|
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); |
– |
– |
+ |
|
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; |
– |
+ |
– |
|
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; |
– |
+ |
– |
|
локальная ИСПДн, развернутая в пределах одного здания |
+ |
– |
– |
|
2. По наличию соединения с сетями общего пользования: |
|||
|
ИСПДн, имеющая многоточечный выход в сеть общего пользования; |
– |
– |
+ |
|
ИСПДн, имеющая одноточечный выход в сеть общего пользования; |
– |
+ |
– |
|
ИСПДн, физически отделенная от сети общего пользования |
+ |
– |
– |
|
3. По встроенным (легальным) операциям с записями баз персональных данных: |
|||
|
чтение, поиск; |
+ |
– |
– |
|
запись, удаление, сортировка; |
– |
+ |
– |
|
модификация, передача |
– |
– |
+ |
|
4.По разграничению доступа к персональным данным: |
|||
|
ИСПДн, к которой имеют доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; |
– |
+ |
– |
|
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; |
– |
– |
+ |
|
ИСПДн с открытым доступом |
- |
- |
+ |
|
5. По наличию соединений с другими базами ПДн иных ИСПДн: |
|||
|
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) |
- |
- |
+ |
|
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн |
+ |
- |
- |
|
6. По уровню (обезличивания) ПДН: |
|||
|
ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне оранизации, отрасли, области, региона и т.д.) |
+ |
||
|
ИСПДн в которой данные обезличиваются только при передаче в другие организации и не обесличены при предоставлении пользователю в орагнизации |
+ |
||
|
ИСПДн в которой предоставляемые пользователю данные не являются обезличенными (то есть присутствует информация, позволяющая идентифицировать субъекта ПДн) |
+ |
||
|
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки |
|||
|
ИСПДн, предоставляющая всю БД с ПДн |
- |
- |
+ |
|
ИСПДн, предоставляющая часть ПДн |
- |
+ |
- |
|
ИСПДн, не предоставляющие никакой информации |
+ |
- |
- |
Определение вероятности реализации угрозы (Y2)
1. Маловероятно (0) – отсутствуют объективные предпосылки для осуществления угрозы
2. Низкая вероятность (2) – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию
3. Средняя вероятность (5) – объективные предпосылки для реализации угрозы существует, но принятые меры обеспечения безопасности ПДн недостаточны
4. Высокая вероятность (10) – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты
Возможность реализации (коэффициент реализуемости) угрозы Y определяется как
Y=(Y1+Y2)/20
По значениям коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:
- если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы низкая;
- если 0,3 < Y ≤ 0,6, то возможность реализации угрозы средняя;
- если 0,6 < Y ≤ 0,8, то возможность реализации угрозы высокая;
- если Y > 0,8, то возможность реализации угрозы очень высокая
Оценка опасности конкретной угрозы определяется на основе опроса экспертов и специалистов ИСПДн в виде вербального показателя опасности.
1. Низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн
2. Средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов ПДн
3. Высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн
Правила отнесения угрозы безопасности ПДн к актуальной показаны на рисунке:
Модель угроз безопасности ПДн при их обработке в ИСПДн содержит систематизированный перечень угроз безопасности ПНд при их обработке в ИСПДн.
В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угроз безопасности ПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Модели угроз, необходимо уточнять и дополнять по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн.
В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн:
• автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
• распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.
Типовые угрозы никак не привязаны к уровням защищенности ИСПДн, а привязаны только к особенностям построения ИСПДн. Поэтому необходимо на основе типовых моделей формировать частные модели угроз для каждой ИСПДн. При формировании частных моделей угроз наборы угроз типовых моделей могут быть детализированы, дополнены, а также сокращен за счет применения методики актуализации угроз. Кроме того, в типовой модели не определено, как модель угроз связана с моделью нарушителя и как для актуальных угроз должны быть назначены меры и средства защиты из перечня мер для соответствующего уровням защищенности ИСПДн.
Нарушитель - любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей, или снижения доступности ресурсов информационной системы и сетевых ресурсов для законных пользователей. (ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции)
Модель нарушителя включает в себя описание о вероятных категориях лиц, к которым может
принадлежать нарушитель, мотивах действий нарушителя и преследуемых им целях, квалификации нарушителя, его технической оснащенности, используемых им методах и средствах и о характере возможных действий.
Модель нарушителя безопасности ПДн ФСТЭК России
Под нарушителем понимается физическое лицо (лица), случайно или преднамеренно совершающие действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн. («Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»).
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:
• Нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и сетей международного информационного обмена – внешние нарушители.
• Нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн – внутренние нарушители.
Потенциальными внутренними нарушителями являются:
• Пользователи системы;
• Обслуживающий технические средства персонал;
• Системные администраторы, администраторы СУБД;
• Технический персонал;
• Администраторы информационной безопасности;
• Руководители разных уровней.
Потенциальными внешними нарушителями считаются:
• Посетители;
• Представители организаций;
• ИТР;
• Криминальные организации.
Основными мотивами совершения нарушений являются:
• Халатность (случайность, некомпетентность);
• Самоутверждение;
• Вандализм;
• Принуждение;
• Месть;
• Корыстный интерес;
• Идейные (политические) интересы.
Перейдем к классификации нарушителей.
По уровню знаний:
1. Знает функциональные особенности АС, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;
2. Обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
3. Обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации АИС;
4. Знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны
По уровню возможностей
1. Применяющий агентурные методы;
2. Применяющий пассивные средства перехвата (без модификации компонентов системы);
3. Использующих только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств);
4. Применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок, использование специальных программ и технологий)
По времени действия
1. В процессе функционирования АС (во время работы компонентов системы);
2. В период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта);
3. В процессе функционирования АС (во время период неактивности компонентов системы)
По месту действия
1. Без доступа на контролируемую территорию;
2. С контролируемой территории без доступа в здание;
3. Внутри помещений, но без доступа к техническим средствам АС;
4. С рабочих мест конечных пользователей АС;
5. С доступом к данным (БД, архивы);
6. С доступом к управлению средствами защиты информации.
По цели совершения нарушений
1. Получение конфиденциальной информации (по отдельным или всем субъектам ПДн) из ИСПДн;
2. Модификация (удаление, добавление, фальсификация) сведений (по отдельным или всем субъектам ПДн) в ИСПДн;
3. Нарушение процессов обработки ПДн (полное или частичное нарушение работоспособности ИСПДн)
При анализе актуальных угроз конкретным ПДн целесообразно по каждой цели сделать предположения о том, кому (субъект), зачем (мотив) и в какой мере ( вероятность действия) это нужно.
Внешними нарушителями согласно ФСТЭК России являются:
1. Разведывательные службы государств;
2. Криминальные структуры;
3. Конкуренты;
4. Недобросовестные партнеры;
5. Физические лица.
Перечисленные нарушители могут иметь следующие возможности:
• Осуществлять НСД к каналам связи, выходящим за пределы служебных помещений;
• Осуществлять НСД через АРМ, подключенным к сетям общего пользования;
• Осуществлять НСД к информации с использованием специальных программных воздействий посредством вирусов, вредоносных программ, программных закладок;
• Осуществлять НСД через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла оказываются за пределами КЗ;
• Осуществлять НСД через СМЭВ при их подключении к ИСПДн.
Внутренними нарушителями в зависимости от способа доступа и полномочий доступа к ПДн согласно ФСТЭК России являются:
• Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн;
• Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места;
• Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным или распределенным информационным системам;
• Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн;
• Зарегистрированные пользователи с полномочиями системного администратора ИСПДн;
• Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн;
• Программисты-разработки (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте;
• Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.
Построение Модели угроз осуществляется на основе:
• методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утв. ФСБ России 31.03.2015 № 149/7/2/6-432);
Методика необходима для определения актуальности использования СКЗИ и определения актуальных угроз
• приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»:
- определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ;
- регулирует применение организационных и технических мер, с учетом требований эксплуатационной документации к СКЗИ.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средств).
Необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных.
Соотношение моделей угроз ФСТЭК России и ФСБ России
В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.
В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России . При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.
По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании настоящих методических документов ФСБ России.
Обобщенные возможности источников атак
|
№ |
Обобщенные возможности источников атак |
Да/нет |
|
1 |
Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны |
|
|
2 |
Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования |
|
|
3 |
Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования |
|
|
4* |
Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) |
|
|
5* |
Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) |
|
|
6* |
Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) |
Все возможные атаки определяются моделью нарушителя. Модель нарушителя тесно связана с моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие.
В модели угроз содержится максимально полное описание угроз безопасности объекта.
Модель нарушителя содержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:
• описание нарушителей (субъектов атак);
• предположения об имеющейся у нарушителя информации об объектах атак;
• предположения об имеющихся у нарушителя средствах атак;
• описание каналов атак.
Существует шесть основных типов нарушителей: Н1, Н2…Н6.
Все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:
- категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;
- категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.
Все потенциальные нарушители подразделяются на:
- внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы, могут быть как лица категории I, так и лица категории II;
- внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы, могут быть только лица категории II.
Н1-Н2 - располагают только доступными в свободной продаже аппаратными компонентами криптосредства
Н2- Н6 – могут находится в момент атаки в КЗ
Н3-Н6 – могут быть известны все сети связи, работающие на едином ключе
Н4-Н6 – находящие в сговоре нарушители
Н5-Н6 – могут ставит работы по созданию способов и средств атак в научно-исследовательских центрах
• угрозы, не связанные с деятельностью человека: стихийные бедствия и природные явления (землетрясения, наводнения, ураганы и т.д.);
• угрозы социально-политического характера: забастовки, саботаж, локальные конфликты и т.д.;
• ошибочные действия и (или) нарушения тех или иных требований лицами, санкционировано взаимодействующими с возможными объектами угроз. Если, например, в качестве объекта угроз выступает автоматизированная система в защищенном исполнении (АСЗИ), то к таким действиям и нарушениям, в частности, относятся:
- непредумышленное искажение или удаление программных компонентов АСЗИ;
- внедрение и использование неучтенных программ;
- игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации. В частности:
- нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации);
- предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;
- настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов;
- несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа;
• угрозы техногенного характера, основными из которых являются:
- аварии (отключение электропитания, системы заземления, разрушение инженерных сооружений и т.д.);
- неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления и т.д.;
- помехи и наводки, приводящие к сбоям в работе аппаратных средств.
Применение СКЗИ для обеспечения безопасности ПДн необходимо, если:
• ПДн подлежат криптографической защите в соответствии с законодательством Российской Федерации;
• в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ;
• проведено технико-экономического сравнения альтернативных вариантов обеспечения требуемых характеристик безопасности информации, содержащей, в том числе, ПДн
Угрозы, которые могут быть нейтрализованы только с помощью СКЗИ:
• передача ПДн по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче ПДн по информационно-телекоммуникационным сетям общего пользования);
• хранение ПДн на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.
Условия применения СКЗИ
• криптографическая защита ПДн может быть обеспечена при условии отсутствия возможности НСД нарушителя к ключевой информации СКЗИ;
• СКЗИ штатно функционируют совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к СКЗИ требований и которые образуют среду функционирования СКЗИ;
• СКЗИ не предназначены для защиты информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СКЗИ не предназначены для защиты ПДн от раскрытия лицами, которым предоставлено право на доступ к этой информации);
• СКЗИ обеспечивают защиту информации при условии соблюдения требований эксплуатационно-технической документации на СКЗИ и требований действующих нормативных правовых документов в области реализации и эксплуатации СКЗИ;
• для обеспечения безопасности ПДн при их обработке в ИСПДн должны использоваться СКЗИ, прошедшие в установленном порядке процедуру оценки соответствия;
• СКЗИ являются как средством защиты ПДн, так и объектом защиты.