Модель угроз безопасности персональных данных туроператора. Оформление модели угроз информационной безопасности

Приветствую, читатели!

• для понимания тех угроз и уязвимостей, которые расплодились в информационной системе, а так же нарушителей которые актуальны для данной информационной системы, чтобы запустить процесс технического проектирования для их нейтрализации;
• для галочки, чтобы были выполнены все условия некого проекта, например в сфере персональных данных (не говорю что модель угроз при выполнении проектов в сфере персональных данных всегда делается для галочки, но в основном это так).

Здесь так же большую роль играет Руководство. В зависимости от того, что хочет Руководство, грамотно спроектировать и построить защиту (наш вариант), или же защититься от неких контролирующих органов. Но на эту тему можно написать отдельную статью, в ней будет что сказать.

Модель угроз и модель нарушителя неразрывно связаны. Много споров возникало на тему делать эти модели разными документами, или же правильнее делать это одним документом. По моему мнению, для удобства именно построения модели угроз и модели нарушителя, правильнее делать это одним документом. При передаче модели угроз инженерам (если же моделированием угроз, нарушителя и проектированием занимаются разные отделы в компании) им необходимо видеть ситуацию в полном объеме, а не читать 2 документа и тратить время на соединение их воедино. Таким образом, в данной статье я буду описывать модель угроз и модель нарушителя (далее по тексту - модель угроз) как единый неразрывный документ.

Типовые проблемы

По своему опыту я видел большое количество моделей угроз которые были на столько по разному написаны, что привести их к одному шаблону было просто нереально. У человека не было четкого представления, что писать в таком документе, для кого этот документ и какова его задача. Многие интересуются, сколько листов должна быть модель угроз, что в ней писать, как лучше это сделать.

Типичные ошибки при составлении модели угроз я выявил следующие:

• отсутствие понимания для кого этот документ:
• отсутствие понимания структуры документа;
• отсутствие понимания необходимого содержания документа;
• отсутствие необходимых для проектирования выводов.

План модели угроз

Так как мы, после составления модели угроз, передадим ее для анализа инженерам (не обязательное условие), информация будет группироваться с точки зрения удобства для разработчика модели угроз и инженера, который потом будет проводить ее анализ.
При составлении модели угроз я придерживаюсь следующего плана(подразделы не включены):

Введение
1. Перечень сокращений
2. Перечень нормативных документов
3. Описание ИС
4. Угрозы безопасности
Заключение.
Приложение А.
Приложение Б.
Приложение В.

Забегая на будущее, модель угроз строится из принципа - "Нет необходимости читать весь документ чтобы понять его смысл и сделать правильные выводы ". Давайте разберем каждый из пунктов.

Введение

Типичное введение, описывающее предназначение данного документа и что должно быть определено на этапе его написания.

1. Перечень сокращений

Зачем оно тут? - спросите вы. А я вам отвечу:

• документ может читать не только специалист по информационной безопасности;
• документ может читать высшее руководство, имеющее некое техническое образование;
• при описании Информационной системы некоторые термины могут быть неизвестны ни специалистам, ни руководству.

2. Перечень нормативных документов

Данный раздел обычно необходим в проектах, где используется некая документация, в которой приписаны некие требования или рекомендации. Например, при работе с персональными данными в данный раздел записываются нормативные документы ФСТЭК, ФСБ и т.д.

3. Описание ИС

Данный раздел является одной из главных частей модели угроз. Описание Информационной системы должно раскладывать ее по полочкам на столько подробно, на сколько это возможно. Данные должны включать:

• используемые технические средства, их назначение. Как пример:

Идентификатор служит для быстрого обращения к активу из текста документа, описание служит для понимания что за техническое средство используется, примечание служит для уточнения данных о технических средствах и их назначениях.

• детальное описание технических средств. Как пример: ТС – терминальный сервер. Подключение удаленных клиентов по протоколу RDP для работы с системой. Подключение происходит с аппаратных тонких клиентов и персональных компьютеров. На терминальном сервере установлено приложение, используемое для работы с базой данных.
• Схему подключения технических средств. Данная схема должна отражать детальную архитектуру информационной системы.
• Реализованные защитные меры. Данная информация позволит разработчику модели угроз учесть уже внедренные средства защиты и провести оценку их эффективности, что позвонит с некоторой долей вероятности снизить затраты на закупку средств защиты.
• Формирование перечня активов. Необходимо определить перечень активов, их значимость для компании и идентификатор для быстрой ссылки из документа. Как пример:

В зависимости от выбранной методики оценки рисков, 3 раздел модели угроз может содержать дополнительную информацию. Например, в случае моделирования угроз для персональных данных, данный раздел дополняется «показателями исходной защищенности ИСПДн», «основными характеристиками ИСПДн».

4. Угрозы безопасности

В данном разделе описываются результаты моделирования угроз. В описание входит:

• актуальность внешних или внутренних угроз;
• перечень актуальных нарушителей;
• перечень актуальных угроз информационной безопасности.

Перечень актуальных угроз удобно оформлять в виде такой таблички:

Здесь опять же все просто, идентификатор, описание угрозы и активы, на которые действует угроза. Информации более чем достаточно.

Заключение

В заключении необходимо описать какие мероприятия необходимо провести для защиты Информационной системы. Пример:

1. Защита от несанкционированного подключения незарегистрированных технических средств:

• серверов СУБД;
• серверов приложений.

2. Криптографическая защита каналов связи для доступа к Информационной системе (построение VPN сети).

Информация, расположенная в вышеописанных разделах содержит все необходимые данные для проектирования системы защиты Информационной системы. Вся информация, которая содержит определение актуальных нарушителей, расчет актуальных угроз информационной безопасности находятся в приложениях. Это позволяет получить всю необходимую информацию на первых страницах документа. По опыту скажу, что модель угроз для хорошего проекта и серьезной информационной системы занимает от 100 страниц. Информация представленная выше занимает обычно не более 30.

Приложение А

В приложении А я обычно описываю модель нарушителя. Как правило оно состоит из:

• описания видов нарушителей и их возможностей (внутренние, внешние);
• описание каналов доступа в ИС (физические, общедоступные, технические)
• описание данных видов нарушителей с привязкой к штатной структуре организации;
• описание возможностей данных нарушителей;
• определение актуальности каждого из видов нарушителей.

Табличка на выходе:

Приложение Б

Данное приложение служит для описания и расчета актуальности угроз. В зависимости от выбора методики определения актуальности угроз информационной безопасности, оценки рисков, можно по разному оформлять это приложение(раздел). Я оформляю каждую угрозу следующей табличкой:

Сформатировать табличку в хабраредакторе не очень получилось, в документе она выглядит гораздо лучше. История формирования именно такого вида таблички берет свое начало из стандартов серии СТО БР. Далее она немного модифицировалась под проекты под Персональные данные, и сейчас она представляет собой средство описания угроз для любого из проектов. Данная табличка в полной мере позволяет рассчитать актуальность угрозы информационной безопасности для активов компании. Если используется какая-либо методика оценки рисков, данная табличка так же подойдет. Данный пример приведен для расчета актуальности угроз в рамках работ по проекту защиты Персональных данных. Читается табличка следующим образом: Угроза -> Нарушитель -> Активы -> Нарушаемые свойства -> Данные для расчета актуальности -> Выводы.

Каждая угроза оформляется данной табличкой, которая в полной мере описывает ее и на основе данной таблички можно легко сделать вывод об актуальности/неактуальности угрозы.

Приложение В

Приложение В - справочное. В ней расписаны методики расчета актуальности или же методики оценки рисков.

В результате, при использовании данной методики оформления, модель угроз будет являться читабельным и полезным документом, который можно использовать в организации.

Спасибо за внимание.

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Ранее многие банки использовали Отраслевую модель угроз безопасности ПДн, взятую из Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010). Но в связи с изданием информации Банка России от 30.05.2014 документ утратил силу. Сейчас её нужно разрабатывать самому.

Не многие знают, что с выходом Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" РС БР ИББС-2.9-2016 (РС БР ИББС-2.9-2016) произошла подмена понятий. Теперь при определении перечня категорий информации и перечня типов информационных активов рекомендуется ориентироваться на содержание п.6.3 и 7.2 РС БР ИББС-2.9-2016. Раньше это был п.4.4 Рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 (РС БР ИББС-2.2-2009). Я даже обращался в ЦБ за разъяснениями:

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда .

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009, таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

• угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных - УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
• угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных - УБИ.175;
• угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных - УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз "Неблагоприятные события природного, техногенного и социального характера" статистику МЧС РФ о чрезвычайных ситуациях и пожарах .

Актуальные угрозы источника угроз "Террористы и криминальные элементы" можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей "Преступления в банковской сфере" .

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу "Отраслевая модель угроз безопасности ПДн" из РС БР ИББС-2.4-2010. Колонки "Источник угрозы" и "Уровень реализации угрозы" заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки "Типы объектов среды" и "Угроза безопасности". Последнюю я переименовал в "Последствия реализации угрозы", как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим " УБИ.192: Угроза использования уязвимых версий программного обеспечения ":
Описание угрозы : угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы : внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия : прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы : нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка ).

Частная модель угроз

безопасности персональных данных

в информационной системе персональных данных

«Наименование ИСПДн»

СОГЛАСОВАНО РАЗРАБОТАЛ

_______________________ ____________________

(Представитель подразделения

по защите информации)

"___"_________ 2009 г.

1. Сокращения................................................................................................................................ 4

2. Термины и определения............................................................................................................. 5

3. Общие положения...................................................................................................................... 8

4. Исходные данные об ИСПДн.................................................................................................... 9

4.1. Перечень персональных данных, обрабатываемых в ИСПДн.......................................... 9

4.2. Условия расположения основных составляющих АС, обрабатывающих персональные данные. 9

4.2.1. Расположение основных составляющих АС......................................................... 9

4.2.2. Границы контролируемых зон................................................................................. 9

4.3. Топология ИСПДн и конфигурация ее отдельных компонентов.................................... 9

4.3.1. Топология ИСПДн...................................................................................................... 9

4.4. Конфигурация отдельных компонентов ИСПДн.............................................................. 9

4.4.1. Центральный узел обработки данных................................................................... 9

4.4.2. Узел администрирования......................................................................................... 9

4.4.3. АРМ сотрудников....................................................................................................... 9

4.5. Связи между основными компонентами ИСПДн............................................................. 9

4.5.1. Физические связи........................................................................................................ 9

4.5.2. Технологические связи............................................................................................. 10

4.5.3. Функциональные связи............................................................................................ 10

4.6. Технические средства, участвующие в обработке персональных данных в ИСПДн... 10

4.7. Общесистемные и прикладные программные средства, участвующие в обработке персональных данных. 11

4.8. Режим и степень участия персонала в обработке персональных данных...................... 11

4.8.1. Персонал, участвующий в обработке данных..................................................... 11

4.8.2. Полномочия персонала, участвующего в обработке данных............................ 11

5. Классификация ИСПДн........................................................................................................... 13

6. Классификация угроз безопасности персональных данных в ИСПДн................................. 14

7. Угрозы утечки ПДн в ИСПДн АС по техническим каналам............................................... 16

7.1. Угрозы утечки акустической (речевой) информации.................................................... 16

7.2. Угрозы утечки видовой информации.............................................................................. 16

7.3. Угрозы утечки информации по каналам побочных электромагнитных излучения и наводок16

8. Угрозы несанкционированного доступа к информации ИСПДн АС................................... 18

8.1. Источники угроз несанкционированного доступа к ИСПДн АС.................................. 18

8.2. Характеристика уязвимостей ИСПДн............................................................................. 21

8.2.1. Уязвимости системного программного обеспечения......................................... 22

8.2.2. Уязвимости прикладного программного обеспечения....................................... 22

8.3. Характеристика угроз непосредственного доступа в операционную среду ИСПДн АС23

8.4. Характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия 23

8.4.1. Угроза "Анализ сетевого трафика"..................................................................... 24

8.4.2. Угроза "сканирование сети".................................................................................. 24

8.4.3. Угроза выявления паролей....................................................................................... 24

8.4.4. Угрозы навязывания ложного маршрута сети путем несанкционированного изменении маршрутно-адресных данных 25

8.4.5. Угрозы внедрения ложного объекта сети............................................................ 25

8.4.6. Угрозы типа "Отказ в обслуживании"............................................................... 25

8.4.7. Угрозы удаленного запуска приложений.............................................................. 26

8.4.8. Угрозы внедрения по сети вредоносных программ............................................. 27

8.4.9. Возможные последствия реализации угроз различных классов....................... 27

9. Частная Модель угроз безопасности персональных данных, обрабатываемых в ИСПДн.29

9.1. Определение уровня исходной защищенности ИСПДн................................................. 29

9.2. Определение вероятности реализации угроз в ИСПДн АС........................................... 31

9.3. Определение возможности реализации угрозы в ИСПДн АС....................................... 32

9.4. Оценка опасности угроз в ИСПДн АС............................................................................ 33

9.5. Перечень актуальных угроз безопасности ПДн в ИСПДн АС..................................... 33

АРМ - автоматизированное рабочее место;

АС - автоматизированная система;

АВС - антивирусные средства;

ВП - выделенное помещение;

ВТСС - вспомогательные технические средства и системы;

ИСПДн - информационная система персональных данных;

КЗ - контролируемая зона;

МЭ - межсетевой экран;

НДВ - не декларированные возможности;

НСД - несанкционированный доступ;

ОС - операционная система;

ПДн - персональные данные;

ПМВ - программно-математическое воздействие;

ПО - программное обеспечение;

ПЭВМ - персональная электронно-вычислительная машина;

ПЭМИН - побочные электромагнитные излучения и наводки;

САЗ - система анализа защищенности;

СВТ - средства вычислительной техники;

СЗИ - средства защиты информации;

СЗПДн - система (подсистема) защиты персональных данных:

СОВ - система обнаружения вторжений;

СУБД - система управления базами данных;

УБПДн - угрозы безопасности персональным данным.

В настоящем документе используются следующие термины и их определения:

Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, це-лостность и доступность персональных данных при их обработке в информа-ционных системах персональных данных.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) - исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами не-санкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы - технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ к информации - возможность получения информации и ее использования.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования так средств.

Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способ осуществления таких процессов и методов.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Контролируемая зона - пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание е сторонних лиц, а также транспортных, технических и иных материальных средств.

Межсетевой экран - локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Недекларированные возможности - функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обра-ботки персональных данных.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации).

Перехват (информации) - неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки - электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы персональных данных - лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка - код программы, преднамеренно внесенный программу с целью осуществить утечку, изменить, блокировать, уничтожать информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие - несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации - совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информа-ция.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случай-ного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожают-ся материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам - неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уполномоченное оператором лицо - лицо, которому на основании до-говора оператор поручает обработку персональных данных.

Целостность информации - способность средства вычислительной тех-ники или информационной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Настоящая Частная модель угроз безопасности персональных данных (далее - Модель угроз), в информационной системе персональных данных «Наименование ИСПДн» (далее ИСПДн), разработана на основании следующих документов:

- «Положение об обеспечении безопасности персональных данных при обработке в информационных системах персональных данных» (утв. постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781);

Совместный приказ ФСТЭК/ФСБ/Мининформсвязи России от 13 февраля 2008 г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;

- «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 14 февраля 2008 г.);

- «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. заместителем директора ФСТЭК России 15 февраля 2008 г.);

Данная Модель угроз используются при классификации ИСПДн и разработке Требований по обеспечению безопасности персональных данных (далее ПДн), предъявляемые к ИСПДн.

В соответствии с Паспортом ИСПДн (утв. __.__.____ г. КЕМ) в данной системе обрабатываются следующие персональные данные, подлежащие защите:

Фамилия, имя, отчество;

Серия и номер документа, удостоверяющего личность.

ИСПДн является распределенной и состоит из следующих структурных единиц:

Центральное отделение (ЦО);

Региональные отделения (РО);

Обработка информационных потоков ИСПДн осуществляется в ЦО, расположенном по адресу: г. Москва, ХХХХ.

Контролируемыми зонами являются здания отделений.

Основными составляющими ИСПДн являются:

Центральный узел обработки данных;

Узел администрирования;

Автоматизированные рабочие места (АРМ) сотрудников.

Центральный узел обработки данных представляет собой сервер HP, с установленной операционной системой Unix. Всего в информационной системе АС используется один центральный узел обработки данных, который расположен в ЦО Москвы.

Узел администрирования АС представляет собой АРМ Администратора безопасности, с установленной операционной системой Windows XP.

Основным оборудованием, участвующим в обработке персональных данных, являются АРМ сотрудников. С помощью этого оборудования осуществляется ввод персональных данных в ИСПДн.

АРМ сотрудников установлено в зданиях отделений.

Структура информационного взаимодействия в ИСПДн реализована на основе собственной распределенной Сети передачи данных (далее - СПД), не имеющей подключения к сетям связи общего пользования и сетям международного информационного обмена, и имеет следующие физические связи:

Оборудование АС подключено к локальной сети регионального отделения, подключенного к выделенному каналу связи;

Региональные отделения объединены в общую сеть передачи данных;

Центральный узел обработки данных подключен к локальной сети Московского отделения;

Узел администрирования подключен в локальную сеть ЦО.

В процессе обработки персональных данных в ИСПДн используются следующие технологии:

Персональные данные хранятся на центральном узле обработки данных в специально предназначенной для этого СУБД;

ПО, обеспечивающее передачу персональных данных от конечного периферийного оборудования до СУБД, работает по протоколу TCP/IP;

Введенные на АРМ сотрудников данные пересылаются непосредственно на центральный узел обработки данных.

Узел администрирования осуществляет централизованное управление и конфигурацию того участка защищенной сети, в котором он расположен:

Дает доступ в защищенную сеть для АРМ сотрудников;

Устанавливает политики безопасности, в соответствии с которыми АРМ сотрудников получают возможность работать с центральным узлом обработки данных;

Структура ИСПДн и информационных потоков в ней приведена на схеме (см. Рисунок 1).

В обработке персональных данных участвуют следующие технические средства:

Сервер НP;

АРМ сотрудников;

Кроме того, в обработке персональных данных участвует активное и пассивное сетевое оборудование производства Cisco: коммутаторы, межсетевые экраны, маршрутизаторы, модемы.

В обработке персональных данных участвует следующее общесистемное программное обеспечение:

ОС Windows 2000/XP.

В обработке персональных данных участвует следующее прикладное программное обеспечение:

ПО «Автоматизированная система v.1»;

Обработка персональных данных во всех компонентах ИСПДн осуществляется в многопользовательском режиме.

В процессе обработки персональных данных участвует следующий персонал:

Администратор узла обработки данных осуществляет настройку отдельной серверной части, обрабатывающей данные от нескольких отделений;

Администратор безопасности занимается обслуживанием и настройкой узла администрирования. Администраторы безопасности находятся в каждом из отделений;

Администратор сети занимается обслуживанием и настройкой сетевого оборудования. Администраторы сети находятся в каждом отделении.

Пользователь осуществляет ввод персональных данных в систему АС.

Персонал, участвующий в обработке персональных данных, наделен следующими полномочиями:

Администратор узла обработки данных осуществляет разграничение доступа конечного оборудования к базе, содержащей персональные данные.

Администратор безопасности осуществляет разграничение доступа в защищенную инфраструктуру ИСПДн. Администратор безопасности не имеет полномочий настраивать центральный узел обработки данных.

Администратор сети отвечает за настройку и бесперебойную работу сетевого оборудования. Администратор сети не имеет полномочий настраивать центральный узел обработки данных, сервер безопасности, а также устанавливать и разграничивать права доступа в защищенную инфраструктуру ИСПДн.

Пользователь не имеет полномочий вносить модификации в настройки какого-либо оборудования и прикладного ПО. Кассир уполномочен вводить персональные данные в базу данных ИСПДн.

ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов и их особенностей как объектов обеспечения безопасности. Основными элементами являются:

Персональные данные, содержащиеся в базах данных ЦО;

Информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;

Технические средства ИСПДн, осуществляющие обработку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн);

Программные средства (операционные системы, СУБД);

Средства защиты информации (СЗИ);

Вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях, в которых расположены ИСПДн, их технические средства (далее - служебные помещения) (различного рода технические средства и системы, средства вычислительной техники, средства и системы охранной и пожарной сигнализации, средства и системы кондиционирования, средства электронной оргтехники и т.п.) (далее - ВТСС).

Возможности источников УБПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

Угроза безопасности реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Основными элементами канала реализации УБПДн являются:

Источник УБПДн - субъект, материальный объект или физическое явление, создающее УБПДн;

Среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

Носитель ПДн - физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носители ПДн могут содержать информацию, представленную в следующих видах:

Видовая информация, представленная в виде текста и изображений различных устройств отображения информации СВТ ИСПДн;

Информация, обрабатываемая (циркулирующая) в ИСПДн в виде электрических, электромагнитных, оптических сигналов;

Информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

Угрозы безопасности классифицируются по следующим признакам:

По видам возможных источников УБПДн;

По структуре ИСПДн, на которую направлена реализация УБПДн;

По виду несанкционированных действий, осуществляемых с ПДн;

По способам реализации УБПДн;

По виду каналов, с использованием которых реализуется УБПДн.

По видам возможных источников УБПДн выделяются следующие классы угроз:

Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИСПДн, включая пользователей ИСПДн, реализующими угрозы непосредственно в ИСПДн;

Угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

По структуре ИСПДн, на которые направлена реализация УБПДн, можно выделить следующий класс угроз:

Угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем.

По способам реализации УБПДн в ИСПДн АС можно выделить следующий класс угроз:

Угрозы, реализуемые в ИСПДн, не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена.

По виду несанкционированных действий, осуществляемых с ПДн в ИСПДн АС можно выделить следующие классы угроз:

Угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;

Угроз, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;

Угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн.

По виду каналов, с использованием которых реализуется УБПДн, в ИСПДн можно выделить следующий класс угроз:

Угрозы, реализуемые за счет несанкционированного доступа к ПДн ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения.

При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации следующих каналов утечки информации:

Угрозы утечки акустической (речевой) информации;

Угрозы утечки видовой информации;

Угрозы утечки информации по каналам ПЭМИН.

Источниками угроз утечки информации по техническим каналам являются физические лица, не имеющие доступа к ИСПДн.

Носителем ПДн является пользователь ИСПДн, осуществляющий голосовой ввод ПДн в ИСПДн или акустическая система ИСПДн воспроизводящая ПДн.

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя при обработке ПДн, обусловлено наличием функций голосового ввода ПДн в информационную систему или функций воспроизведения ПДн акустическими средствами информационной системы.

Источником угроз утечки видовой информации являются физические лица, не имеющие доступа к информационной системе.

Среда распространения информативного сигнала - это физическая среда, по которой информативный сигнал может распространяться - однородная (воздушная).

Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов и образов.

Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн.

Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн.

Вывод: Перехват ПДн в ИСПДн может вестись портативной носимой аппаратурой (портативные аналоговые и цифровые фото- и видеокамеры, цифровые видеокамеры, встроенные в сотовые телефоны) - физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них.

Перехват (просмотр) ПДн осуществляется посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо на расстоянии прямой видимости из-за пределов ИСПДн с использованием оптических (оптикоэлектронных) средств.

Источником угроз утечки информации за счет ПЭМИН являются физические лица, не имеющие доступа к ИСПДн.

Среда распространения информативного сигнала - неоднородная за счет перехода из одной среды в другую.

Носителем ПДн являются технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническим средствами ИСПДн.

Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн.

Вывод: В связи с тем, что обрабатываемые в ИСПДн АС ПДн относятся к категории Х (персональные данные, позволяющие идентифицировать субъекта персональных данных), рассмотрение угроз безопасности ПДн, связанных с перехватом ПЭМИН, избыточно, так как утечка ПДн по каналам ПЭМИН - маловероятна из-за несоответствия стоимости средств съема информации и полученной в результате регистрации ПЭМИН информации, а защита ПДн от данного вида угроз - экономически нецелесообразна.

угроза утечки ПДн по техническим каналам: = <источник угрозы (приемник информативного сигнала)>, <среда (путь) распространения информационного сигнала>, <источник (носитель) ПДн>.

МОДЕЛЬ УГРОЗ

безопасности персональных данных

при их обработке в информационной системе персональных данных

1. Общие положения

Данная частная модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных «СКУД» в ___________(далее – ИСПДн) разработана на основании:

1) «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 15 февраля 2008 г. заместителем директора ФСТЭК России;

2) «Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России;

3) ГОСТ Р 51275-2006 «Защита информации. Факторы, воздействующие на информацию. Общие положения».

Модель определяет угрозы безопасности персональных данных, обрабатываемых в информационной системе персональных данных «СКУД».

2. Перечень угроз, представляющих потенциальную опасность для персональных данных, обрабатываемых в ИСПДн

Потенциальную опасность для персональных данных (далее – ПДн) при их обработке в ИСПДн представляют:

угрозы утечки информации по техническим каналам;

физические угрозы;

угрозы несанкционированного доступа;

угрозы персонала.

Определение актуальных угроз безопасности ПДн при обработке в ИСПДн

3.1. Определение уровня исходной защищенности ИСПДн

Уровень исходной защищенности ИСПДн определен экспертным методом в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Методика), утвержденной 14 февраля 2008 г. заместителем директора ФСТЭК России. Результаты анализа исходной защищенности приведены в Таблице 1.

Таблица 1. Уровень исходной защищенности

Таким образом, ИСПДн имеет средний (Y 1 =5 ) уровень исходной защищенности, т. к. более 70% характеристик ИСПДн соответствуют уровню защищенности не ниже «средний», но менее 70% характеристик ИСПДн соответствуют уровню «высокий».

3.2. Определение актуальных угроз безопасности ПДн

Частота реализации угроз, опасность угроз и актуальность угроз определены экспертным методом в соответствии с Методикой на основе опроса экспертов (специалистов в области защиты информации) и результатов обследования ИСПДн. Результаты определения частоты реализации угроз, опасности угроз и актуальности угроз приведены в Таблице 2.

Таблица 2. Актуальные угрозы безопасности ПДн