Согласно пункту 2 статьи 19 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» обеспечение безопасности персональных данных достигается:
Угроза безопасности информационной системы - это возможные воздействия на информационную систему, которые прямо или косвенно могут нанести ущерб ее безопасности.
Уязвимость информационной системы – это характеристика или свойство информационной системы, использование которой нарушителем может привести к реализации угрозы.
Атака - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости системы.
Атака - это реализация угрозы безопасности.
Основой для анализа риска реализации угроз и формулирования требований к разрабатываемой системе защиты ИС является их обязательная идентификация, а именно:
Кроме выявления возможных угроз должен быть проведен анализ этих угроз на основе их классификации по ряду признаков.
Каждый признаков классификации отражает одно из обобщенных требований к системе защиты. При этом угрозы, соответствующие каждому признаку классификации, позволяют детализировать отражаемое этим признаком требование.
Необходимость классификации угроз информационной безопасности ИС обусловлена тем, что:
Как следствие, для защищаемой системы определяют не полный перечень угроз, а перечень классов угроз.
Анализ угроз ПДн по базовым признакам ведется по ГОСТ Р51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения». Общий перечень возможный угроз.
Внутренние факторы:
• подключения к техническим средствам;
• использования закладных устройств;
• использования дефектов и уязвимостей ПО;
• внесение программных закладок;
• применения вирусов;
Внешние факторы:
• Термические факторы (пожары, заморозки)
• Климатические факторы (наводнения, ураганы, сели, лавины)
• Механические (землетрясения)
• Электромагнитные (грозовые разряды)
• Биологические (микробы, грызуны)
• Химические (агрессивные среды)
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.
По виду защищаемой от угроз ПДн информации, содержащей ПДн:
По видам возможных источников угроз ПДн:
По способу реализации угроз ПДн (специальные воздействия):
По виду нарушаемого свойства информации:
По используемой уязвимости:
По объекту воздействия:
«Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн.
Угрозы безопасности ПДн определяются с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.
К характеристикам ИСПДн можно отнести:
Основными элементами ИСПДн являются:
Возможности источников угроз безопасности ПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.
Угроза безопасности ПДн реализуется в результате образования канала реализации угрозы между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Источниками информации в общем случае являются:
Источниками угроз утечки информации по техническим каналам являются:
При обработке ПДн в ИСПДн за счет реализации технических каналов утечки информации возможно возникновение следующих угроз ПДн:
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн в ИСПДн или функцией воспроизведения ПДн акустическими средствами ИСПДн.
Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.
Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПДн.
Подробно про технические каналов утечки информации можно прочитать в материале "Защита информации от утечки по техническим каналам"
Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств:
Источниками угроз НСД в ИСПДн могут быть:
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер, например:
Уязвимость информационной системы персональных данных - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным. Причинами возникновения уязвимостей являются:
Под программным (программно-математическим) воздействием понимается несанкционированное воздействие, осуществляемое с использованием вредоносных программ (программ с потенциально опасными последствиями).
Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы автоматизированной информационной системы.
Программно-математические воздействия относятся к преднамеренным угрозам безопасности информации (ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.)
Помимо перечисленных, можно выделить также:
Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, указывает на присутствие данной угрозы.
Формирование перечня угроз производится на основе:
Согласно методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (утв. ФСТЭК РФ 14.02.2008) на основании перечня угроз формируется перечень актуальных угроз безопасности ПДн.
Актуальной считается угроза, которая:
Для оценки возможности реализации угрозы применяются два показателя:
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн.
Вероятность реализации угрозы – это определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Определение уровня исходной защищенности ИСПДн (Y1):
Технические и эксплуатационные характеристики ИСПДн | Уровень защищенности | ||
---|---|---|---|
Высокий | Средний | Низкий | |
1. По территориальному размещению: | |||
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; | - | - | + |
городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); | - | - | + |
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; | - | + | - |
локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; | - | + | - |
локальная ИСПДн, развернутая в пределах одного здания | + | - | - |
2. По наличию соединения с сетями общего пользования: | |||
ИСПДн, имеющая многоточечный выход в сеть общего пользования; | - | - | + |
ИСПДн, имеющая одноточечный выход в сеть общего пользования; | - | + | - |
ИСПДн, физически отделенная от сети общего пользования | + | - | - |
3. По встроенным (легальным) операциям с записями баз персональных данных: | |||
чтение, поиск; | + | - | - |
запись, удаление, сортировка; | - | + | - |
модификация, передача | - | - | + |
4. По разграничению доступа к персональным данным: | |||
ИСПДн, к которой имеют доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн; | - | + | - |
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; | - | - | + |
ИСПДн с открытым доступом | - | - | + |
5. По наличию соединений с другими базами ПДн иных ИСПДн: | |||
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн) | - | - | + |
ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн | + | - | - |
6. По уровню (обезличивания) ПДН: | |||
ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне оранизации, отрасли, области, региона и т.д.) | + | ||
ИСПДн в которой данные обезличиваются только при передаче в другие организации и не обесличены при предоставлении пользователю в орагнизации | + | ||
ИСПДн в которой предоставляемые пользователю данные не являются обезличенными (то есть присутствует информация, позволяющая идентифицировать субъекта ПДн) | + | ||
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки | |||
ИСПДн, предоставляющая всю БД с ПДн | - | - | + |
ИСПДн, предоставляющая часть ПДн | - | + | - |
ИСПДн, не предоставляющие никакой информации | + | - | - |
Возможность реализации (коэффициент реализуемости) угрозы Y определяется как
Y=(Y1+Y2)/20
По значениям коэффициента реализуемости угрозы Y формируется вербальная (словесная) интерпретация реализуемости угрозы:
- если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы низкая;
- если 0,3 < Y ≤ 0,6, то возможность реализации угрозы средняя;
- если 0,6 < Y ≤ 0,8, то возможность реализации угрозы высокая;
- если Y > 0,8, то возможность реализации угрозы очень высокая
Оценка опасности конкретной угрозы определяется на основе опроса экспертов и специалистов ИСПДн в виде вербального показателя опасности:
Правила отнесения угрозы безопасности ПДн к актуальной показаны на рисунке:
Модель угроз безопасности ПДн при их обработке в ИСПДн содержит систематизированный перечень угроз безопасности ПНд при их обработке в ИСПДн.
В Модели угроз дано обобщенное описание ИСПДн как объектов защиты, возможных источников угроз безопасности ПДн, основных классов уязвимостей ИСПДн, возможных видов неправомерных действий и деструктивных воздействий на ПДн, а также основных способов их реализации.
Угрозы безопасности ПДн, обрабатываемых в ИСПДн, содержащиеся в Модели угроз, необходимо уточнять и дополнять по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности ПДн в ИСПДн.
В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн:
Типовые угрозы никак не привязаны к уровням защищенности ИСПДн, а привязаны только к особенностям построения ИСПДн. Поэтому необходимо на основе типовых моделей формировать частные модели угроз для каждой ИСПДн. При формировании частных моделей угроз наборы угроз типовых моделей могут быть детализированы, дополнены, а также сокращен за счет применения методики актуализации угроз. Кроме того, в типовой модели не определено, как модель угроз связана с моделью нарушителя и как для актуальных угроз должны быть назначены меры и средства защиты из перечня мер для соответствующего уровням защищенности ИСПДн.
Нарушитель - любое лицо, преднамеренно использующее уязвимости технических и нетехнических мер и средств контроля и управления безопасностью с целью захвата или компрометации информационных систем и сетей, или снижения доступности ресурсов информационной системы и сетевых ресурсов для законных пользователей. (ГОСТ Р ИСО/МЭК 27033-1-2011: Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции)
Модель нарушителя включает в себя описание о вероятных категориях лиц, к которым может принадлежать нарушитель, мотивах действий нарушителя и преследуемых им целях, квалификации нарушителя, его технической оснащенности, используемых им методах и средствах и о характере возможных действий.
Модель нарушителя безопасности ПДн ФСТЭК России:
Под нарушителем понимается физическое лицо (лица), случайно или преднамеренно совершающие действия, следствием которых является нарушение безопасности ПДн при их обработке в ИСПДн. («Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»).
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:
Потенциальными внутренними нарушителями являются:
Потенциальными внешними нарушителями считаются:
Основными мотивами совершения нарушений являются:
Перейдем к классификации нарушителей.
По уровню знаний:
По уровню возможностей:
По времени действия:
По месту действия:
По цели совершения нарушений:
При анализе актуальных угроз конкретным ПДн целесообразно по каждой цели сделать предположения о том, кому (субъект), зачем (мотив) и в какой мере (вероятность действия) это нужно.
Внешними нарушителями согласно ФСТЭК России являются:
Перечисленные нарушители могут иметь следующие возможности:
Внутренними нарушителями в зависимости от способа доступа и полномочий доступа к ПДн согласно ФСТЭК России являются:
Построение Модели угроз осуществляется на основе:
Методика необходима для определения актуальности использования СКЗИ и определения актуальных угроз
• определяет состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ;
• регулирует применение организационных и технических мер, с учетом требований эксплуатационной документации к СКЗИ.
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средств).
Необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных.
Соотношение моделей угроз ФСТЭК России и ФСБ России:
В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России.
В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и ФСБ России. При этом из двух содержащихся в документах ФСТЭК России и ФСБ России однотипных угроз выбирается более опасная.
По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании настоящих методических документов ФСБ России.
Обобщенные возможности источников атак:
№ | Обобщенные возможности источников атак | Да/нет |
---|---|---|
1 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны | |
2 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | |
3 | Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к аппаратным средствам, на которых реализованы СКЗИ и среда их функционирования | |
4* | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ) | |
5* | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения) | |
6* | Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ) |
Все возможные атаки определяются моделью нарушителя. Модель нарушителя тесно связана с моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие.
В модели угроз содержится максимально полное описание угроз безопасности объекта.
Модель нарушителя cодержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.
Модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру:
Существует шесть основных типов нарушителей: Н1, Н2-Н6.
Все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории:
• категория I - лица, не имеющие права доступа в контролируемую зону информационной системы;
• категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы.
Все потенциальные нарушители подразделяются на:
Н1-Н2 - располагают только доступными в свободной продаже аппаратными компонентами криптосредства
Н2- Н6 – могут находится в момент атаки в КЗ
Н3-Н6 – могут быть известны все сети связи, работающие на едином ключе
Н4-Н6 – находящие в сговоре нарушители
Н5-Н6 – могут ставит работы по созданию способов и средств атак в научно-исследовательских центрах
• непредумышленное искажение или удаление программных компонентов АСЗИ;
• внедрение и использование неучтенных программ;
• нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации);
• предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований;
• настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов;
• несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа;
• аварии (отключение электропитания, системы заземления, разрушение инженерных сооружений и т.д.);
• неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления и т.д.;
• помехи и наводки, приводящие к сбоям в работе аппаратных средств.
Применение СКЗИ для обеспечения безопасности ПДн необходимо, если:
Угрозы, которые могут быть нейтрализованы только с помощью СКЗИ:
Условия применения СКЗИ: