Модель угроз безопасности государственной информационной системы. Оформление модели угроз информационной безопасности. Описание угроз наим системы наим орг сокращ

Технические и эксплуатационные характеристики ИСПДн

Уровень защищенности

Высокий

Средний

Низкий

1. По территориальному размещению

Локальная ИСПДн, развернутаяв пределах одного здания

2. По наличию соединения с сетями общего пользования

ИСПДн, физически отделённая от сетей общего пользования.

3. По встроенным (легальным) операциям с записями баз ПДн

Чтение, запись, удаление

4. По разграничению доступа к ПДн

ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн

5. По наличию соединений с другими базами ПДн иных ИСПДн

ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн

6. По уровню обобщения (обезличивания) ПДн

ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)

7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки

ИСПДн, предоставляющая часть ПДн

Характеристики ИСПДн

Анализ реализации мер защиты

Вероятность реализации угрозы (коэффициент Y2)

Возможность реализации угрозы

(коэффициент Y)

Факторы, определяющие опасность угрозы

Показатель опасности угрозы

Актуальность угрозы

1. Угрозы утечки информации по техническим каналам

Угрозы утечки акустической (речевой) информации

маловероятно

низкая (0,25)

неактуальная

Угрозы утечки видовой информации

Расположение устройств отображения СВТ исключает возникновение прямой видимости между средством наблюдения и носителем ПДн. На окнах помещений установлены жалюзи.

маловероятно

низкая (0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

неактуальная

Угрозы утечки информации по каналам ПЭМИН

ПДн обрабатываются на рабочих местах, удаленных от границы контролируемой зоны не менее чем на 2 м.

Технических мер защиты от утечки информации по каналам ПЭМИН не принято.

маловероятно

низкая (0,25)

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

неактуальная

2. Физические угрозы

2.1 Угрозы стихийного характера

Угрозы стихийного характера (пожар, затопление в результате прорыва сетей отопления, водоснабжения/водоотведения)

Резервное копирование осуществляется на отдельно расположенный массив данных. Процедура резервирования не регламентирована.

низкая вероятность

актуальная

2.2 Преднамеренные действия внешнего нарушителя

Повреждение каналов связи (кабелей), выходящих за пределы контролируемой зоны

маловероятно

Реализация угрозы может привести к временному нарушению доступности, целостности ПДн.

неактуальная

Двери в помещения ИСПДн надежные, оборудованы механическими замками. Окна помещений оборудованы решетками. В помещении ИСПДн установлена охранная сигнализация. Сотрудник охраны круглосуточно присутствует на рабочем месте. Ведется видеонаблюдение.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности и доступности ПДн.

актуальная

маловероятно

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

неактуальная

Технические средства ИСПДн не опломбированы.

Приняты меры по ограничению физического доступа в помещения ИСПДн (см. выше).

маловероятно

неактуальная

Приняты меры по ограничению физического доступа в помещения ИСПДн (см. выше).

маловероятно

Реализация угрозы приведет к нарушению достоверности ПДн

неактуальная

Несанкционированное проводное подключение к кабельной линии за пределами контролируемой зоны – перехват передаваемых ПДн

ИСПДн не имеет подключений к сетям общего пользования.

маловероятно

неактуальная

2.3 Преднамеренные действия внутреннего нарушителя

Кража технических средств ИСПДн, носителей информации

Перечень лиц, допущенных к работе в ИСПДн, документально утвержден. Учет носителей, содержащих ПДн, не ведется. Сотрудник охраны круглосуточно присутствует на рабочем месте. Ведется видеонаблюдение.

В рабочее время в помещения ИСПДн допускаются посетители. Резервное копирование осуществляется на отдельно расположенный массив данных. Процедура резервирования не регламентирована.

вероятность

актуальная

Порча или уничтожение технических средств ИСПДн, носителей информации

маловероятно

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

неактуальная

Подлог носителей, содержащих недостоверную информацию

Учет носителей, содержащих ПДн, не ведется.

вероятность

Реализация угрозы приведет к нарушению целостности ПДн.

актуальная

Изменение режимов работы технических средств ИСПДн

Пользователи ИСПДн работают с привилегиями локального администратора.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Отключение средств технической охраны (охранная сигнализация)

Доступ к пультам охранной сигнализации не ограничен. Все пользователи ИСПДн имеют легальный доступ в помещения ИСПДн

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Физический доступ к кабелям, находящимся в пределах контролируемой зоны не затруднен.

средняя вероятность

неактуальная

Несанкционированное проводное подключение к кабельной линии (коммуникационному оборудованию) в пределах контролируемой зоны

Доступ к коммутационному оборудованию ограничен, но все пользователи ИСПДн имеют санкционированное подключение к вычислительной сети

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Внедрение аппаратных закладок в технические средства ИСПДн

Технические средства ИСПДн не опломбированы. Имеется свободный доступ к внешним и внутренним портам ПЭВМ. Пользователи ИСПДн имеют санкционированный доступ к техническим и программным средствам ИСПДн.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн

неактуальная

2.4 Непреднамеренные действия внутреннего нарушителя

Непреднамеренная утрата носителей информации

Резервное копирование осуществляется на отдельно расположенный массив данных. Процедура резервирования не регламентирована. Учет носителей ПДн не ведется.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности и доступности ПДн.

актуальная

Непреднамеренный вывод из строя или изменение режимов работы технических средств ИСПДн

Перечень лиц, допущенных к работе в ИСПДн утверждён приказом. Не предусмотрены инструкции пользователей. Пользователи работают с привилегиями локального администратора.

средняя вероятность

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

актуальная

Непреднамеренное повреждение каналов связи (кабелей), находящихся в пределах контролируемой зоны

Кабели в пределах контролируемой зоны проложены в местах, затрудняющих непреднамеренное их повреждение

низкая вероятность

Реализация угрозы может привести к временному нарушению доступности ПДн.

неактуальная

2.5 Угрозы технического характера

Потеря данных в результате сбоя в работе технических средств или выхода из строя носителей информации

Резервное копирование осуществляется, но процедура резервирования не регламентирована.

средняя вероятность

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

актуальная

Отказ внешних источников энергоснабжения

Резервные источники электропитания не предусмотрены на всех технических средствах ИСПДн. Резервное копирование осуществляется на отдельно расположенный массив данных.

средняя вероятность

Реализация угрозы может привести к временному нарушению доступности ПДн.

актуальная

3. Угрозы несанкционированного доступа

3.1 Преднамеренные действия нарушителя

Внедрение программных закладок

Программные средства ИСПДн не сертифицированы на отсутствие недекларированных возможностей. Контроль целостности программной среды осуществляется.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Запуск операционной системы с внешнего (сменного) носителя

Использование сменных носителей. Пользователи работают с привилегиями локального администратора.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Внедрение вредоносных программ

Используются средства антивирусной защиты. Процедуры антивирусной проверки, обновления антивирусных баз документально установлены.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Несанкционированный доступ к информации с применением стандартных функций операционной системы (уничтожение, копирование, перемещение и т. п.)

Пользователи работают с привилегиями локального администратора. Ведется регистрация действий пользователей.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Несанкционированный доступ к информации с использованием прикладного программного обеспечения

Полномочия пользователей по установке прикладного ПО не ограничены. Пользователи работают с привилегиями локального администратора. Использование сменных носителей не ограничено.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Несанкционированный доступ к информации с использованием специально созданного программного обеспечения

Типовой состав ПО не включает средства создания программного обеспечения. Использование сменных носителей не ограничено.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Несанкционированное копирование информации на внешние (сменные) носители

Использование сменных носителей не ограничено.

низкая вероятность

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

актуальная

Подбор аутентификационных данных пользователя

Парольная политика задана инструкциями администратора.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

3.2 Непреднамеренные действия нарушителя

Непреднамеренный запуск вредоносных программ

Используются средства антивирусной защиты. Процедуры антивирусной проверки, обновления антивирусных баз документально не установлены.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Непреднамеренная модификация (уничтожение) информации

Пользователи работают с привилегиями локального администратора Инструкции пользователей отсутствуют.

средняя вероятность

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

актуальная

3.3 Локальные уязвимости системного программного обеспечения

Несанкционированное повышение привилегий пользователя операционной системы

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Несанкционированное выполнение произвольных команд операционной системы

Установлены СЗИ, сертифицированные на НДВ

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Модификация (подмена) компонентов операционной системы

Пользователи работают с привилегиями локального администратора. Контроль целостности компонентов операционной системы осуществляется СЗИ.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Отказ в обслуживании операционной системы

Установлены СЗИ, сертифицированные на НДВ

маловероятно

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

неактуальная

Уязвимости в микропрограммах (прошивках) технических средств ИСПДн

Информация об уязвимостях в микропрограммах (прошивках) технических средств ИСПДн отсутствует.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

3.4 Локальные уязвимости прикладного программного обеспечения

Несанкционированное повышение привилегий пользователя

Информация об уязвимостях повышения привилегий пользователя отсутствует.

низкая вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Несанкционированное выполнение произвольных команд операционной системы через уязвимости прикладного программного обеспечения

Установлены СЗИ, сертифицированные на НДВ

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Модификация (подмена) компонентов прикладного программного обеспечения

Пользователи работают с привилегиями локального администратора. Контроль целостности компонентов прикладного программного обеспечения не осуществляется.

средняя вероятность

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

актуальная

Отказ в обслуживании прикладного программного обеспечения

Информация об уязвимостях отказа в обслуживании прикладного программного обеспечения отсутствует.

маловероятно

Реализация угрозы может привести к нарушению целостности и доступности ПДн.

неактуальная

3.5 Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия

Удаленный сбор информации об операционной системе («отпечатки» протоколов)

маловероятно

Реализация угрозы не приводит к прямому нарушению заданных характеристик ПДн. Но может создать предпосылки для реализации других угроз

неактуальная

Удаленный сбор информации о сетевых службах (сканирование сети)

Сбор информации невозможен, ИСПДн не имеет подключения к сетям общего пользования.

маловероятно

Реализация угрозы не приводит к прямому нарушению заданных характеристик ПДн. Но может создать предпосылки для реализации других угроз.

неактуальная

Удаленные уязвимости в системном программном обеспечении

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Удаленные уязвимости в прикладном программном обеспечении

ИСПДн не имеет подключения к сетям общего пользования

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Уязвимости в протоколах межсетевого взаимодействия

ИСПДн не имеет подключения к сетям общего пользования

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Удаленный подбор аутентификационных данных пользователя

Парольная политика регламентирована инструкциями пользователя и администратора, ИСПДн не имеет подключения к сетям общего пользования.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

Удаленное внедрение вредоносных программ

Используются средства антивирусной защиты. Процедуры антивирусной проверки, обновления антивирусных баз документально не установлены, ИСПДн не имеет подключения к сетям общего пользования.

маловероятно

Реализация угрозы может привести к нарушению конфиденциальности, целостности и доступности ПДн.

неактуальная

4. Угрозы персонала

Преднамеренное разглашение конфиденциальной информации

низкая вероятность

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

неактуальная

Непреднамеренное разглашение конфиденциальной информации

Обязанность соблюдать конфиденциальность информации закреплена в должностных инструкциях сотрудников, имеющих доступ к ПДн.

средняя вероятность

Реализация угрозы приведет только к нарушению конфиденциальности ПДн.

неактуальная

Подлог недостоверной информации

Ведется частичная регистрация действий пользователей ИСПДн.

средняя вероятность

Реализация угрозы приведет к нарушению целостности ПДн.

Классификация несанкционированных воздействий

Под угрозой понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность.

Знание спектра потенциальных угроз защищаемой информации, умение квалифицированно и объективно оценить возможность их реализации и степень опасности каждой из них, является важным этапом сложного процесса организации и обеспечения защиты. Определение полного множества угроз ИБ практически невозможно, но относительно полное описание их, применительно к рассматриваемому объекту, может быть достигнуто при детальном составлении модели угроз.

Удаленные атаки классифицированы по характеру и цели воздействия, по условию начала осуществления воздействия и наличию обратной связи с атакуемым объектом, по расположению объекта относительно атакуемого объекта и по уровню эталонной модели взаимодействия открытых систем ЭМВОС, на котором осуществляется воздействие.

Классификационные признаки объектов защиты и угроз безопасности автоматизированным системам и озможные способы несанкционированного доступа (НСД) к информации в защищаемых АС:

• 1) по принципу НСД:
  • - физический. Может быть реализован при непосредственном или визуальном контакте с защищаемым объектом;
  • - логический. Предполагает преодоление системы защиты с помощью программных средств путем логического проникновения в структуру АС;
• 2) по пути НСД:
  • - использование прямого стандартного пути доступа. Используются слабости установленной политики безопасности и процесса административного управления сетью. Результатом может быть маскировка под санкционированного пользователя;
  • - использование скрытого нестандартного пути доступа. Используются недокументированные особенности (слабости) системы защиты (недостатки алгоритмов и компонентов системы защиты, ошибки реализации проекта системы защиты);
  • - Особую по степени опасности группу представляют угрозы ИБ, осуществляемые путем воздействий нарушителя, которые позволяют не только осуществлять несанкционированное воздействие (НСВ) на информационные ресурсы системы и влиять на них путем использования средств специального программного и программно-технического воздействия, но и обеспечивать НСД к информации.
• 3) по степени автоматизации:
  • - выполняемые при постоянном участии человека. Может использоваться общедоступное (стандартное) ПО. Атака проводится в форме диалога нарушителя с защищаемой системой;
  • - выполняемые специальными программами без непосредственного участия человека. Применяется специальное ПО, разработанное чаще всего по вирусной технологии. Как правило, такой способ НСД для реализации атаки предпочтительнее;
• 4) по характеру воздействия субъекта НСД на объект защиты:
  • - пассивное. Не оказывает непосредственного воздействия на АС, но способно нарушить конфиденциальность информации. Примером является контроль каналов связи;
  • - активное. К этой категории относится любое несанкционированное воздействие, конечной целью которого является осуществление каких-либо изменений в атакуемой АС;
• 5) по условию начала воздействия:
  • - атака по запросу от атакуемого объекта. Субъект атаки изначально условно пассивен и ожидает от атакуемой АС запроса определенного типа, слабости которого используются для осуществления атаки;
  • - атака по наступлению ожидаемого события на атакуемом объекте. За ОС объекта атаки ведется наблюдение. Атака начинается, когда АС находится в уязвимом состоянии;
  • - безусловная атака. Субъект атаки производит активное воздействие на объект атаки вне зависимости от состояния последнего;
• 6) по цели воздействия. Безопасность рассматривают как совокупность конфиденциальности, целостности, доступности ресурсов и работоспособности (устойчивости) АС, нарушение которых нашло отражение в модели конфликта;
• 7) по наличию обратной связи с атакуемым объектом:
  • - с обратной связью. Подразумевается двунаправленное взаимодействие между субъектом и объектом атаки с целью получения от объекта атаки каких-либо данных, влияющих на дальнейший ход НСД;
  • - без обратной связи. Однонаправленная атака. Субъект атаки не нуждается в диалоге с атакуемой АС. Примером является организация направленного "шторма" запросов. Цель - нарушение работоспособности (устойчивости) АС;
• 8) по типу используемых слабостей защиты:
  • - недостатки установленной политики безопасности. Разработанная для АС политика безопасности неадекватна критериям безопасности, что и используется для выполнения НСД:
  • - ошибки административного управления;
  • - недокументированные особенности системы безопасности, в том числе связанные с ПО, - ошибки, неосуществленные обновления ОС, уязвимые сервисы, незащищенные конфигурации по умолчанию;
  • - недостатки алгоритмов защиты. Алгоритмы защиты, использованные разработчиком для построения системы защиты информации, не отражают реальных аспектов обработки информации и содержат концептуальные ошибки;
  • - ошибки реализации проекта системы защиты. Реализация проекта системы защиты информации не соответствует заложенным разработчиками системы принципам.

Логические признаки объектов защиты:

• 1) политика безопасности. Представляет собой совокупность документированных концептуальных решений, направленных на защиту информации и ресурсов, и включает цели, требования к защищаемой информации, совокупность мероприятий по ИБ, обязанности лиц, ответственных за ИБ;
• 2) процесс административного управления. Включает управление конфигурацией и производительностью сети, доступом к сетевым ресурсам, меры повышения надежности функционирования сети, восстановление работоспособности системы и данных, контроль норм и корректности функционирования средств защиты в соответствии с политикой безопасности;
• 3) компоненты системы защиты:
  • - система криптографической защиты информации;
  • - ключевая информация;
  • - пароли;
  • - информация о пользователях (идентификаторы, привилегии, полномочия);
  • - параметры настройки системы защиты;
• 4) протоколы. Как совокупность функциональных и эксплуатационных требований к компонентам сетевого программно-аппаратного обеспечения, должны обладать корректностью, полнотой, непротиворечивостью;
• 5) функциональные элементы вычислительных сетей. Должны быть защищены в общем случае от перегрузок и уничтожения "критических" данных.

Возможные способы и методы осуществления НСД (виды атак):

• 1) анализ сетевого трафика, исследование ЛВС и средств защиты для поиска их слабостей и исследования алгоритмов функционирования АС. В системах с физически выделенным каналом связи передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы. В такой системе при отсутствии доступа к объектам, через которые осуществляется передача сообщения, не существует программной возможности анализа сетевого трафика;
• 2) введение в сеть несанкционированных устройств.
• 3)перехват передаваемых данных с целью хищения, модификации или переадресации;
• 4) подмена доверенного объекта в АС.
• 5) внедрение в сеть несанкционированного маршрута (объекта) путем навязывания ложного маршрута с перенаправлением через него потока сообщений;
• 6) внедрение в сеть ложного маршрута (объекта) путем использования недостатков алгоритмов удаленного поиска;
• 7) использование уязвимостей общесистемного и прикладного ПО.
• 8) криптоанализ.
• 9) использование недостатков в реализации криптоалгоритмов и криптографических программ.
• 10) перехват, подбор, подмена и прогнозирование генерируемых ключей и паролей.
• 11) назначение дополнительных полномочий и изменение параметров настройки системы защиты.
• 12) внедрение программных закладок.
• 13) нарушение работоспособности (устойчивости) АС путем внесения перегрузки, уничтожения "критических" данных, выполнения некорректных операций.
• 14) доступ к компьютеру сети, принимающему сообщения или выполняющему функции маршрутизации;

Классификация злоумышленников

Возможности осуществления вредительских воздействий в большой степени зависят от статуса злоумышленника по отношению к КС. Злоумышленником может быть:

• 1) разработчик КС;
• 2) сотрудник из числа обслуживающего персонала;
• 3) пользователь;
• 4) постороннее лицо.

Разработчик владеет наиболее полной информацией о программных и аппаратных средствах КС. Пользователь имеет общее представление о структурах КС, о работе механизмов защиты информации. Он может осуществлять сбор данных о системе защиты информации методами традиционного шпионажа, а также предпринимать попытки несанкционированного доступа к информации. Постороннее лицо, не имеющее отношения к КС, находится в наименее выгодном положении по отношению к другим злоумышленникам. Если предположить, что он не имеет доступ на объект КС, то в его распоряжении имеются дистанционные методы традиционного шпионажа и возможность диверсионной деятельности. Он может осуществлять вредительские воздействия с использованием электромагнитных излучений и наводок, а также каналов связи, если КС является распределенной.

Большие возможности оказания вредительских воздействий на информацию КС имеют специалисты, обслуживающие эти системы. Причем, специалисты разных подразделений обладают различными потенциальными возможностями злоумышленных действий. Наибольший вред могут нанести работники службы безопасности информации. Далее идут системные программисты, прикладные программисты и инженерно-технический персонал.

На практике опасность злоумышленника зависит также от финансовых, материально-технических возможностей и квалификации злоумышленника.

Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК России «Базовая модель»:

типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и 8 внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования.

3. Методика и порядок выполнения работы.

На данном практическом занятии студенты выполняют следующие задания:

3.1. Изучают категории нарушителей, описанные в документе ФСТЭК России «Базовая модель».Для конкретной информационной системы определяют перечень вероятных нарушителей ИСПДн с учетом всех исключений.Результаты записывают в таблицу (см. таблицу 2).

3.2. Изучают модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составляют перечень всех возможных угроз по документу ФСТЭК России «Базовая модель». Результаты записывают в таблицу, см. пример 1.

Таблица 3.

Перечень всех возможных угроз безопасности ПДн.

Аннотация: В лекции ведется изучение понятий и классификаций уязвимостей и угроз, рассмотрение наиболее распространенных атак. Состав и содержание организационно-распорядительной документации по защите ПД.

4.1. Угрозы информационной безопасности

При построении системы защиты персональных данных (далее СЗПД) ключевым этапом является построение частной модели угроз для конкретной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты, в соответствии с принципами, рассмотренными в "Автоматизированная и неавтоматизированная обработка персональных данных" .

Под угрозами безопасности ПД при их обработке в ИСПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование , распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.

Угрозы безопасности могут быть реализованы двумя путями:

• через технические каналы утечки;
• путем несанкционированного доступа.

Обобщенная схема реализации канала угроз ПД показана на рисунке 4.1

Рис. 4.1.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация . Среда распространения бывает однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т.д. Главное, что информация при этом отображается в виде полей, сигналов, образов, количественных характеристиках физических величин.

Как правило, выделяют следующие угрозы за счет реализации технических каналов утечки:

• угрозы утечки речевой информации. Фактически злоумышленник перехватывает информацию с помощью специальной аппаратуры в виде акустических, виброакустических волн, а также электромагнитного излучения, модулированного акустическим сигналом. В качестве средств могут использоваться различного рода электронные устройства, подключаемые либо к каналам связи, либо к техническим средствам обработки ПД.
• угрозы утечки видовой информации. В этом случае речь идет о непосредственном просмотре ПД при наличии прямой видимости между средством наблюдения и носителем ПД. В качестве средств наблюдения используются оптические средства и видеозакладки;
• угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Речь идет о перехвате побочных (не связанных с прямым функциональным значением элементов ИСПД) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПД. Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПД. Наводки электромагнитных излучений возникают при излучении элементами технических средств ИСПД информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств ИСПД и различных вспомогательных устройств.

Источниками угроз , реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПД правила разграничения доступа к информации. Этими субъектами могут быть:

• нарушитель;
• носитель вредоносной программы;
• аппаратная закладка.

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПД при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства , обеспечивающие доступ к ресурсам ИСПД, нарушители подразделяются на два типа:

• нарушители, не имеющие доступа к ИСПД, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
• нарушители, имеющие доступ к ИСПД, включая пользователей ИСПД, реализующие угрозы непосредственно в ИСПД, – внутренние нарушители.

Для ИСПД, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПД, подключенные к сетям общего пользования.

Обобщим полученные знания с помощью рисунка 4.2 .

Угрозы можно классифицировать по различным признакам, например, по виду нарушаемого свойства информации ( конфиденциальность , целостность , доступность), по типу ИСПД, на которые направлена атака , по типу используемой для атаки уязвимости.

4.2. Общая характеристика уязвимостей информационной системы персональных данных

Появление потенциальных угроз безопасности связано с наличием слабых мест в ИСПД - уязвимостей. Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении ИСПД, которые могут быть использованы для реализации угрозы безопасности персональных данных.

Причинами возникновения уязвимостей в общем случае являются:

1. ошибки при разработке программного обеспечения;
2. преднамеренные изменения программного обеспечения с целью внесения уязвимостей;
3. неправильные настройки программного обеспечения;
4. несанкционированное внедрение вредоносных программ;
5. неумышленные действия пользователей;
6. сбои в работе программного и аппаратного обеспечения.

Уязвимости, как и угрозы, можно классифицировать по различным признакам:

1. по типу ПО – системное или прикладное.
2. по этапу жизненного цикла ПО, на котором возникла уязвимость – проектирование, эксплуатация и пр.
3. по причине возникновения уязвимости, например, недостатки механизмов аутентификации сетевых протоколов.
4. по характеру последствий от реализации атак – изменение прав доступа, подбор пароля, вывод из строя системы в целом и пр.

Наиболее часто используемые уязвимости относятся к протоколам сетевого взаимодействия и к операционным системам, в том числе к прикладному программному обеспечению.

Уязвимости операционной системы и прикладного ПО в частном случае могут представлять:

• функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
• фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
• отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
• ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Так, например, протокол прикладного уровня FTP , широко используемый в Интернете, производит аутентификацию на базе открытого текста, тем самым позволяя перехватывать данные учетной записи.

Прежде чем приступать к построению системы защиты информации необходимо провести анализ уязвимостей ИСПД и попытаться сократить их количество, то есть использовать метод превентивности. Можно закрыть лишние порты, поставить "заплатки" на программное обеспечение (например, service pack для Windows ), ввести более сильные методы аутентификации и т.п. Эти меры могут существенно сократить материальные, временные и трудовые затраты на построение системы защиты персональных данных в дальнейшем.

4.3. Наиболее часто реализуемые угрозы

В связи с повсеместным развитием Интернета наиболее часто атаки производятся с использованием уязвимостей протоколов сетевого взаимодействия. Рассмотрим 7 наиболее распространенных атак.

1. Анализ сетевого трафика

   Данный вид атаки направлен в первую очередь на получение пароля и идентификатора пользователя путем "прослушивания сети". Реализуется это с помощью sniffer – специальная программа-анализатор, которая перехватывает все пакеты, идущие по сети. И если протокол, например, FTP или TELNET, передает аутентификационную информацию в открытом виде, то злоумышленник легко получает доступ к учетной записи пользователя.

   

   
   Рис. 4.3.
2. Сканирование сети

   Суть данной атаки состоит в сборе информации о топологии сети, об открытых портах, используемых протоколах и т.п. Как правило, реализация данной угрозы предшествует дальнейшим действиям злоумышленника с использованием полученных в результате сканирования данных.

3. Угроза выявления пароля

   Целью атаки является преодоление парольной защиты и получении НСД к чужой информации. Методов для кражи пароля очень много: простой перебор всех возможных значений пароля, перебор с помощью специальных программ ( атака словаря ), перехват пароля с помощью программы-анализатора сетевого трафика.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа. Доверенный объект – это элемент сети, легально подключенный к серверу.

   Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д.

   Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

   Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта . Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

   Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.

   В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПД– цели угроз.

5. Навязывание ложного маршрута сети

   Данная атака стала возможной из-за недостатков протоколов маршрутизации (RIP, OSPF, LSP ) и управления сетью (ICMP, SNMP), таких как слабая аутентификация маршрутизаторов. Суть атаки состоит в том, что злоумышленник, используя уязвимости протоколов, вносит несанкционированные изменения в маршрутно-адресные таблицы.

6. Внедрение ложного объекта сети

   Когда изначально объекты сети не знают информацию друг о друге, то для построения адресных таблиц и последующего взаимодействия, используется механизм запрос (как правило, широковещательный) - ответ с искомой информацией. При этом если нарушитель перехватил такой запрос, то он может выдать ложный ответ, изменить таблицу маршрутизации всей сети, и выдать себя за легального субъекта сети. В дальнейшем все пакеты, направленные к легальному субъекту, будут проходить через злоумышленника.

7. Отказ в обслуживании

   Этот тип атак является одним из самых распространенных в настоящее время. Целью такой атаки является отказ в обслуживании, то есть нарушение доступности информации для законных субъектов информационного обмена.

Могут быть выделены несколько разновидностей таких угроз:

• скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПД на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding ), шторм запросов на установление TCP-соединений (SYN- flooding ), шторм запросов к FTP-серверу;
• явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов , дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN- flooding ), шторм сообщений почтовому серверу ( Spam );
• явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS- flooding ) или идентификационной и аутентификационной информации;
• явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", " Nuke ", "UDP- bomb ") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПД в ИСПД, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПД, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Мы рассмотрели наиболее часто реализуемые угрозы при сетевом взаимодействии. На практике угроз значительно больше. Частная модель угроз безопасности строится на основе двух документов ФСТЭК – "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПД" . Если организация большая, и в ней несколько систем ИСПД, наиболее разумным решением будет привлечение квалифицированных специалистов сторонних фирм для построения частной модели угроз и проектирования СЗПД.

4.4. Организационно-распорядительная документация по защите ПД

Помимо технических и процедурных решений создаваемой системы защиты персональных данных , оператор должен обеспечить разработку организационно - распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПД при их обработке в ИСПД и эксплуатации системы защиты персональных данных (далее СЗПД). Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПД . Это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:

• цель и задачи в области защиты персональных данных ;
• понятие и состав персональных данных;
• в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
• как происходит сбор и хранение персональных данных;
• как они обрабатываются и используются;
• кто (по должностям) в пределах фирмы имеет к ним доступ;
по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

Список лиц, допущенных к обработке ПД, можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

3. Частная модель угроз (если ИСПД несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

• угрозы утечки информации по техническим каналам;
• угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПД, реализующих угрозы непосредственно в ИСПД. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПД;
• угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПД, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.

Разработанная модель угроз утверждается руководителем.

4. На основании утвержденной модели угроз ИСПД необходимо разработать требования по обеспечению безопасности ПД при их обработке в ИСПД. Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.

Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

5. Инструкции в части обеспечения безопасности ПД при их обработке в ИСПД.

Мы рассмотрели только основные организационно-распорядительные документы. Помимо перечисленных документов необходимо составить Акт классификации ИСПД, Технический паспорт ИСПД, Электронный журнал регистрации обращений пользователей ИСПД на получение ПД, Регламент разграничения прав доступа, приказы о назначении лиц, работающих с ИСПД и т.п.

Кроме того, до проведения всех мероприятий по защите ПД оператор должен назначить должностное лицо или (если ИСПД достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПД. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица ( подразделения ), ответственного за обеспечение безопасности ПД, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).