Модель угроз безопасности ПДн в ИСПДн

МОДЕЛЬ УГРОЗ
БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ
В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
«НАЗВАНИЕ ИСПДН»
Проект
«НАЗВАНИЕ ОРГАНИЗАЦИИ»
МОДЕЛЬ УГРОЗ
безопасности персональных данных
при их обработке в информационной системе персональных данных
«Название ИСПДн»
СОГЛАСОВАНО
СОГЛАСОВАНО
_________________
_________________
«____» _____________ 2010 г.
«____» _____________ 2010 г.
Москва 2010
2
АННОТАЦИЯ
Настоящий документ предназначен для обоснования выдвигаемых требований по
обеспечению безопасности персональных данных и служит основой для проведения
мероприятий по проектированию и внедрению системы обеспечения безопасности
персональных данных в информационной системе персональных данных.
В ходе данной работы были определены характерные для ИСПДН «Название ИСПДн»
параметры угроз:
– источники угроз;
– уязвимости ИСПДн;
– объекты воздействий;
– способы реализации угроз;
– деструктивные воздействия на ПДн.
Данные параметры были сгруппированы, согласно документу «Базовая модель угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных» (утверждена заместителем директора ФСТЭК России 15 февраля
2008 г.), и выделены в группы угроз. Далее, в соответствии с Методикой определения
актуальных угроз безопасности персональных данных при их обработке в информационных
системах персональных данных (утвержденной заместителем директора ФСТЭК России 14
февраля 2008 г.), были определены актуальные угрозы. Также в ходе работы был проведён
анализ возможностей нарушителей, который позволил выявить класс криптосредств,
предполагаемых для использования в ИСПДн.
Целевой аудиторией настоящего документа являются специалисты по обеспечению
безопасности информации «Название организации», организующие и проводящие работы по
обеспечению безопасности ПДн при их обработке в ИСПДн.
3
СОДЕРЖАНИЕ
1 ПЕРЕЧЕНЬ СОКРАЩЕНИЙ ...................................................................................................................4
2 ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ ................................................5
3 ВВЕДЕНИЕ...................................................................................................................................................8
4 ОПИСАНИЕ ИСПДН .................................................................................................................................9
4.1 ХАРАКТЕРИСТИКИ ИСПДН.....................................................................................................................9
4.2 СВОДКА ПО СРЕДСТВАМ ЗАЩИТЫ ........................................................................................................10
5 АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ПДН ..........................................................................12
6 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ................................................................................13
ПРИЛОЖЕНИЕ А. ОЦЕНКА АКТУАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН.......14
А.1 ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН ................................................14
А.2 ОПРЕДЕЛЕНИЕ УЯЗВИМОСТЕЙ ИСПДН И ТЕХНИЧЕСКИХ КАНАЛОВ УТЕЧКИ ПДН В ИСПДН ..........14
А.3 ОПРЕДЕЛЕНИЕ ОБЪЕКТОВ ВОЗДЕЙСТВИЯ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН.............................15
А.4 ОПРЕДЕЛЕНИЕ СПОСОБОВ РЕАЛИЗАЦИИ УЯЗВИМОСТЕЙ ИСПДН ......................................................17
А.5 ОПРЕДЕЛЕНИЕ ДЕСТРУКТИВНЫХ ВОЗДЕЙСТВИЙ НА ИСПДН ЗА СЧЕТ РЕАЛИЗАЦИИ УГРОЗ
БЕЗОПАСНОСТИ ПДН ...................................................................................................................................18
А.6 ОПРЕДЕЛЕНИЕ СТЕПЕНИ АКТУАЛЬНОСТИ УГРОЗ БЕЗОПАСНОСТИ ПДН .............................................18
ПРИЛОЖЕНИЕ Б. МЕТОДИКА ОПРЕДЕЛЕНИЯ УРОВНЯ ИСХОДНОЙ ЗАЩИЩЕННОСТИ
ИСПДН ...........................................................................................................................................................28
ПРИЛОЖЕНИЕ В. МЕТОДИКА МОДЕЛИРОВАНИЯ УГРОЗ БЕЗОПАСНОСТИ ПДН............30
В.1 ФОРМАЛЬНОЕ ОПИСАНИЕ ПОНЯТИЯ УГРОЗЫ ......................................................................................30
В.2 КЛАССИФИКАЦИЯ ЭЛЕМЕНТОВ ОПИСАНИЯ УГРОЗ ..............................................................................30
В.2.1 Классификация источников угроз безопасности в ИСПДн .....................................................30
В.2.2 Классификация уязвимостей и каналов УИТК в ИСПДн .........................................................30
В.2.3 Классификация способов реализации угрозы ............................................................................31
В.2.4 Классификация объектов воздействия угроз безопасности ПДн ...........................................32
В.2.5 Классификация деструктивных воздействий за счет НСД к ПДн.........................................32
В.3 ПОРЯДОК ОЦЕНКИ АКТУАЛЬНОСТИ УГРОЗ БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ В ИСПДН .....32
В.3.1 Определение элементов описания угроз, актуальных для анализируемой ИСПДн ...............33
В.3.2 Расчет вероятности реализации УБПДн ..................................................................................38
В.3.3 Оценка опасности (ущерба) для субъекта ПДн от реализации каждой УБПДн ..................38
В.3.4 Определение актуальных угроз из полученного общего перечня УБПДн, характерных для
анализируемой ИСПДн ..........................................................................................................................39
ПРИЛОЖЕНИЕ Г. ПЕРЕЧЕНЬ ИСТОЧНИКОВ УГРОЗ БЕЗОПАСНОСТИ. ОПИСАНИЕ
ВОЗМОЖНОСТЕЙ ПОТЕНЦИАЛЬНЫХ НАРУШИТЕЛЕЙ БЕЗОПАСНОСТИ ПДН...............40
Г.1 НАРУШИТЕЛИ ........................................................................................................................................40
Г.2 НОСИТЕЛИ ВРЕДОНОСНОЙ ПРОГРАММЫ ..............................................................................................43
4
1 ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
АРМ
-
Автоматизированное рабочее место
АС
-
Автоматизированная система
ВТСС
-
Вспомогательные технические средства и системы
ДВ
-
Деструктивное воздействие
ИСПДн
-
Информационная система персональных данных
КЗ
-
Контролируемая зона
КПД
-
Каналы передачи данных
НСД
-
Несанкционированный доступ
ОС
-
Операционная система
ОТСС
-
Основные технические средства и системы
ПАО
-
Программно-аппаратное обеспечение
ПДн
-
Персональные данные
ПО
-
Программное обеспечение
ПСВ
-
Протоколы сетевого взаимодействия
ПЭМИН
-
Побочные электромагнитные излучения и наводки
РД
-
Руководящий документ
СВТ
-
Средства вычислительной техники
СЗИ
-
Средства защиты информации
СЗПДн
-
Система защиты персональных данных
СМИО
-
Сеть международного информационного обмена
СКЗИ
-
Средства криптографической защиты информации
СФК
-
Среда функционирования криптосредств
ТК
-
Технический канал
ТС
-
Технические средства
УБПДн
-
Угроза безопасности персональных данных
УИТК
-
Утечка информации по техническим каналам
ФСБ России
-
Федеральная служба безопасности Российской Федерации
ФСТЭК России
-
Федеральная служба по техническому и экспортному контролю
5
2 ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
Аутентификация отправителя данных – подтверждение того, что отправитель
полученных данных соответствует заявленному.
Безопасность персональных данных – состояние защищенности персональных
данных, характеризуемое способностью пользователей, технических средств и
информационных технологий обеспечить конфиденциальность, целостность и доступность
персональных данных при их обработке в информационных системах персональных данных.
Блокирование персональных данных – временное прекращение сбора,
систематизации, накопления, использования, распространения персональных данных, в том
числе их передачи.
Вирус (компьютерный, программный) – исполняемый программный код или
интерпретируемый набор инструкций, обладающий свойствами несанкционированного
распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не
всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению
и самовоспроизведению.
Вредоносная программа – программа, предназначенная для осуществления
несанкционированного доступа и (или) воздействия на персональные данные или ресурсы
информационной системы персональных данных.
Доступ в операционную среду компьютера (информационной системы
персональных данных) – получение возможности запуска на выполнение штатных команд,
функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.),
исполняемых файлов прикладных программ.
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или)
сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информативный сигнал – электрические сигналы, акустические, электромагнитные и
другие физические поля, по параметрам которых может быть раскрыта конфиденциальная
информация (персональные данные), обрабатываемая в информационной системе
персональных данных.
Информационная система персональных данных – информационная система,
представляющая собой совокупность персональных данных, содержащихся в базе данных, а
также информационных технологий и технических средств, позволяющих осуществлять
обработку таких персональных данных с использованием средств автоматизации или без
использования таких средств.
Информационные технологии – процессы, методы поиска, сбора, хранения,
обработки, предоставления, распространения информации и способы осуществления таких
процессов и методов.
Конфиденциальность персональных данных – обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование не
допускать их распространение без согласия субъекта персональных данных или наличия
иного законного основания.
Ложный объект сети – сетевой объект, внедряемый злоумышленником с целью
получения НСД к пакетам информации, передаваемым по сети. Объект может играть роль
конечной точки (выступать в качестве подложного сервера или клиента) или посредника и
позволять злоумышленнику получать и анализировать информацию, видоизменять
информацию в процессе передачи, а также инициировать передачу ложной информации или
управляющих команд.
6
Нарушитель безопасности персональных данных – физическое лицо, случайно или
преднамеренно совершающее действия, следствием которых является нарушение
безопасности персональных данных при их обработке техническими средствами в
информационных системах персональных данных. При этом, существует две категории
нарушителей: внешние и внутренние. Внешние нарушители – лица, не имеющие доступа к
ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей
международного информационного обмена. Внутренние нарушители – лица, имеющие
доступ к ИСПДн (в т.ч. пользователи ИСПДн), реализующие угрозы непосредственно в
ИСПДн
Недекларированные возможности – функциональные возможности средств
вычислительной техники, не описанные или не соответствующие описанным в
документации, при использовании которых возможно нарушение конфиденциальности,
доступности или целостности обрабатываемой информации.
Несанкционированный доступ (несанкционированные действия) – доступ к
информации или действия с информацией, нарушающие правила разграничения доступа с
использованием штатных средств, предоставляемых информационными системами
персональных данных.
Носитель информации – физическое лицо или материальный объект, в том числе
физическое поле, в котором информация находит свое отражение в виде символов, образов,
сигналов, технических решений и процессов, количественных характеристик физических
величин.
Технические средства информационной системы персональных данных – средства
вычислительной техники, информационно-вычислительные комплексы и сети, средства и
системы передачи, приема и обработки ПДн (средства и системы звукозаписи,
звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства
изготовления, тиражирования документов и другие технические средства обработки речевой,
графической, видео- и буквенно-цифровой информации), программные средства
(операционные системы, системы управления базами данных и т.п.), средства защиты
информации).
Перехват (информации) – неправомерное получение информации с использованием
технического средства, осуществляющего обнаружение, прием и обработку информативных
сигналов.
Персональные данные – любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту персональных
данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес,
семейное, социальное, имущественное положение, образование, профессия, доходы, другая
информация.
Побочные электромагнитные излучения и наводки – электромагнитные излучения
технических средств обработки защищаемой информации, возникающие как побочное
явление и вызванные электрическими сигналами, действующими в их электрических и
магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие
линии, конструкции и цепи питания.
Пользователь информационной системы персональных данных – лицо,
участвующее в функционировании информационной системы персональных данных или
использующее результаты ее функционирования.
Программная закладка – код программы, преднамеренно внесенный в программу с
целью осуществить утечку, изменить, блокировать, уничтожить информацию или
7
уничтожить и модифицировать программное обеспечение информационной системы
персональных данных и(или) блокировать аппаратные средства.
Технический канал утечки информации – совокупность носителя информации
(средства обработки), физической среды распространения информативного сигнала и
средств, которыми добывается защищаемая информация.
Угрозы безопасности персональных данных – совокупность условий и факторов,
создающих опасность несанкционированного, в том числе случайного, доступа к
персональным данным, результатом которого может стать уничтожение, изменение,
блокирование, копирование, распространение персональных данных, а также иных
несанкционированных действий при их обработке в информационной системе персональных
данных.
Уничтожение персональных данных – действия, в результате которых невозможно
восстановить содержание персональных данных в информационной системе персональных
данных или в результате которых уничтожаются материальные носители персональных
данных.
Утечка (защищаемой) информации по техническим каналам – неконтролируемое
распространение информации от носителя защищаемой информации через физическую
среду до технического средства, осуществляющего перехват информации.
Уязвимость – слабость в средствах защиты, которую можно использовать для
нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной техники или
информационной системы обеспечивать неизменность информации в условиях случайного
и/или преднамеренного искажения (разрушения).
8
3 ВВЕДЕНИЕ
Оценка актуальности угроз безопасности ПДн является ключевым элементом в
процессе построения и управления СЗПДн. Корректное определение совокупности объектов
негативного воздействия, присущих им уязвимостей, способов реализации этих уязвимостей
и, как следствие, источников данного негативного воздействия позволяет дать качественную
характеристику меры вероятности осуществления той или иной угрозы безопасности ПДн. В
свою очередь, наличие формализованного описания актуальных угроз безопасности ПДн
дает возможность подразделениям организаций и лицам, ответственным за безопасность
персональных данных.
– адекватно оценить необходимость реализации тех или иных мероприятий по
обеспечению безопасности ПДн, исходя из состояния защищенности ИСПДн на текущий
момент;
– спрогнозировать развитие СЗПДн на краткосрочную и среднесрочную перспективу,
провести оптимизацию бюджетов соответствующих подразделений, выставить приоритеты
принимаемым мерам по обеспечению безопасности ПДн;
– обеспечить непрерывность бизнес-процессов организации в ходе достижения ею
своей миссии.
Российская практика создания СЗПДн показывает, что оценка актуальности угроз
безопасности ПДн проводится на этапе моделирования действий различных групп
нарушителей, использующих те или иные уязвимости, характерные для анализируемой
ИСПДн. Этот этап осуществляется после проведения обследования ИСПДн и предшествует
этапу проектирования СЗПДн, в частности, этапу формирования технического задания на
СЗПДн.
Формальным итогом этапа моделирования является документ «Модель угроз
безопасности персональных данных при их обработке в ИСПДн». Данный документ
содержит в себе, в общем случае, следующие сведения:
– описание объекта моделирования (анализируемой ИСПДн) и его характеристик;
– перечни характерных для данной ИСПДн источников угроз безопасности
персональных данных, уязвимостей компонентов ИСПДн, способов реализации данных
уязвимостей в рамках анализируемой ИСПДн, объектов воздействия и последствий
реализации вышеуказанных способов;
– перечни характерных для данной ИСПДн угроз безопасности ПДн;
– оценку ущерба для субъектов ПДн от реализации тех или иных угроз безопасности
ПДн;
– анализ актуальности вышеуказанных угроз для рассматриваемой ИСПДн.
По результатам оценки актуальности угроз безопасности ПДн формируются
требования по обеспечению безопасности ПДн при их обработке в анализируемой ИСПДн,
которые являются основой для дальнейшего проектирования и внедрения СЗПДн.
9
4 ОПИСАНИЕ ИСПДН
4.1 Характеристики ИСПДн
ИСПДн
«Название
ИСПДн»
является
территориально-распределенной
автоматизированной информационной системой, границы которой определены в рамках
головного офиса, филиалов и точек продаж. Комплекс технических средств ИСПДн
«Название ИСПДн» включает средства обработки данных (ПЭВМ, сервера БД, почтовый
сервер и т.п.), средства обмена данными в ЛВС (кабельная система, и т.д.), а также средства
хранения (в т.ч. архивирования) данных.
Основные характеристики ИСПДн «Название ИСПДн» приведены в Таблице 1.
Таблица 1. Основные характеристики ИСПДн
Наименование характеристики
Категория обрабатываемых персональных данных
Объем обрабатываемых персональных данных
Требуемые характеристики безопасности персональных данных
(конфиденциальность/целостность/доступность)
Структура информационной системы
Наличие подключения к сетям связи общего пользования и/или
сетям международного информационного обмена
Режим обработки персональных данных
Наличие разграничения доступа
Местонахождение технических средств информационной системы
Значение
С, О, И
Более 100 000
Конфиденциальность
Целостность
Доступность
Распределенная
С АРМ производится доступ
к СМИО
Многопользовательский с
разными правами
Есть
Технические средства
частично находятся за
пределами Российской
Федерации
Более подробное описание ИСПДн «Название ИСПДн» представлено в документе
«Описание ИСПДн “Название ИСПДн”».
Результаты определения уровня исходной защищенности ИСПДн «Название ИСПДн»,
выполненного в соответствии с Приложением Б, представлены в Таблице 2.
Таблица 2. Показатели исходной защищенности ИСПДн
Технические и эксплуатационные
Уровень
Значение характеристики
характеристики
защищенности
Корпоративная
распределенная ИСПДн,
По территориальному размещению охватывающая многие
2
подразделения одной
организации
ИСПДн, имеющая
По наличию соединения с сетями
одноточечный выход в
2
общего пользования
сеть общего
пользования
По встроенным операциям с
Модификация, передача
3
записями
ИСПДн, к которой
имеет доступ
определенный перечень
По разграничению доступа
сотрудников
2
организации,
являющейся владельцем
ИСПДн, либо субъекты
Качественное
значение
Средний
Низкий
Низкий
Средний
10
Технические и эксплуатационные
Уровень
Значение характеристики
характеристики
защищенности
ПДн
ИСПДн, в которой
используется одна база
По наличию соединений с другими
ПДн, принадлежащая
1
базами ПДн иных ИСПДн
организации-владельцу
данной ИСПДн
ИСПДн, в которой
предоставляемые
пользователю данные не
являются
По уровню обобщения
обезличенными (т.е.
3
(обезличивания) ПДн
присутствует
информация,
позволяющая
идентифицировать
субъекта ПДн)
По объему ПДн, предоставляемых
ИСПДн,
сторонним пользователям ИСПДн
предоставляющая часть
2
без предварительной обработки
ПДн
Качественное
значение
Высокий
Низкий
Средний
Согласно критериям, установленным [2], уровень исходной защищенности ИСПДн
«Название ИСПДн» может быть оценен как СРЕДНИЙ, в связи с тем, что более 70%
характеристик ИСПДн «Название ИСПДн» соответствует уровню не ниже «среднего».
При составлении перечня актуальных угроз безопасности ПДн полученной оценке
степени исходной защищенности ставится в соответствие числовой коэффициент равный
5 (Y1).
Также, ответственными лицами и подразделениями Заказчика была проведена оценка
ущерба субъектам ПДн, при нарушении заданных характеристик безопасности, закрепленная
в Протоколе оценки ущерба от <__.__.____> № <___>. В ходе данной оценки было
определено, что последствия для субъектов ПДн при нарушении заданных характеристик
безопасности ПДн, обрабатываемых в ИСПДн «Название ИСПДн», рассматриваются как:
Таблица 3. Показатели последствий для субъектов ПДн при нарушении заданных
характеристик безопасности
Наименование заданной характеристики
Величина ущерба
Конфиденциальность
Негативные последствия
Целостность
Незначительные негативные последствия
Доступность
Незначительные негативные последствия
4.2 Сводка по средствам защиты
В Компании «Название организации» установлены следующие средства защиты:
Таблица 4. Применяемые средства защиты
№ Наименование средства защиты
Назначение
Программное средство, осуществляющее защиту контроль
Встроенные механизмы
1
доступа к ИСПДн на уровне ОС АРМ, серверов и
аутентификации ОС
коммуникационного оборудования ИСПДн
Встроенные механизмы
Программное средство, осуществляющее контроль доступа к
2
аутентификации СУБД и
ИСПДн на уровне СУБД и приложений АРМ и серверов
приложений
ИСПДн
Средство контроля настроек безопасности ОС и СУБД
3
ESM Symantec
ИСПДн
4
MсAfee 8.7
Средство антивирусной защиты АРМ и серверов ИСПДн
11
№ Наименование средства защиты
5
MсAfee DLP (Device Control)
6
EMC Legato
Назначение
Средство контроля подключения съемных USB-носителей
АРМ ИСПДн
Средство резервного копирования данных с серверов ИСПДн
Более подробное описание средств защиты информации, применяемых в ИСПДн,
представлено в документе «Описание ИСПДн».
12
5 АКТУАЛЬНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ПДН
В ходе моделирования, результаты которого приведены в Приложении А, было
установлено, что при обработке персональных данных в ИСПДн возможна реализация
следующих основных угроз безопасности персональных данных:
– угрозы НСД к ПДн, обрабатываемым в ИСПДн;
– угрозы утечки информации по техническим каналам.
Угрозы НСД связаны с действиями нарушителей, имеющих доступ к средствам
обработки информации, включая пользователей ИСПДн, реализующих угрозы
непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн и
реализующих угрозы из внешних сетей связи общего пользования и (или) сетей
международного информационного обмена.
Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн,
включают в себя следующие угрозы:











Угрозы непосредственного доступа в ходе загрузки ОС;
Угрозы непосредственного доступа после загрузки ОС;
Угрозы анализа сетевого трафика;
Угрозы сканирования сети;
Угрозы выявления пароля;
Угрозы подмены доверенного объекта сети;
Угрозы навязывания ложного маршрута;
Угрозы внедрения ложного объекта;
Угрозы удаленного запуска приложений;
Угрозы от вредоносных программ, распространяемых по сети;
Угрозы от вредоносных программ, распространяемых через отчуждаемые
носители.
Все угрозы утечки информации по техническим каналам признаны неактуальными.
С учетом заключений, приведенных в Приложении Г, возможности внешнего и
внутреннего нарушителя безопасности персональных данных при их обработке в ИСПДн
соответствуют возможностям нарушителя типа Н1, согласно классификации нарушителей,
приведенной в [3].
13
6 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ
В ходе подготовки настоящего документа были использованы положения следующих
нормативных документов:
1. «Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных» (утверждена заместителем директора
ФСТЭК России 15 февраля 2008 г.);
2. «Методика определения актуальных угроз безопасности персональных данных при
их обработке в информационных системах персональных данных» (утверждена
заместителем директора ФСТЭК России 14 февраля 2008 г.);
3. «Методические рекомендации по обеспечению с помощью криптосредств
безопасности персональных данных при их обработке в информационных системах
персональных данных с использованием средств автоматизации» (утверждены руководством
8 Центра ФСБ России 21 февраля 2008 г. № 149/54-144);
4. «Типовые требования по организации и обеспечению функционирования
шифровальных (криптографических) средств, предназначенных для защиты информации, не
содержащей сведений, составляющих государственную тайну в случае их использования для
обеспечения безопасности персональных данных при их обработке в информационных
системах персональных данных» (утверждены руководством 8 Центра ФСБ России 21
февраля 2008 г. № 149/6/6-622);
14
Приложение А. Оценка актуальных угроз безопасности ПДн в ИСПДн
В соответствии с методикой оценки актуальности угроз безопасности ПДн, изложенной
в Приложении В, ниже определяются основные параметры угроз безопасности ПДн при их
обработке в ИСПДн, а также проводится оценка актуальности полученных угроз
безопасности.
А.1 Определение источников угроз безопасности ПДн в ИСПДн
Для анализируемой ИСПДн характерны категории источников угроз безопасности ПДн
за счет НСД, перечисленные в Таблица А..
Таблица А.1. Перечень характерных для ИСПДн источников угроз безопасности ПДн за счет
НСД
Код
И1
И2
И3
И4
И5
И6
И7
И8
И10
Наименование категории источника угрозы безопасности
ПДн
Внешний нарушитель
Лица, имеющие санкционированный доступ в
контролируемую зону, но не имеющие доступа к ПДн
Зарегистрированные пользователи ИР, имеющие
ограниченные права доступа к ПДн ИСПДн с рабочего
места
Пользователи ИР, осуществляющие удаленный доступ к
ПДн по ЛВС
Зарегистрированный пользователь с полномочиями
системного администратора ИСПДн
Зарегистрированный пользователь с полномочиями
администратора безопасности ИСПДн
Программисты-разработчики прикладного ПО и лица,
обеспечивающие его сопровождение в ИСПДн
Разработчики и лица, обеспечивающие поставку,
сопровождение ТС в ИСПДн
Вредоносная программа
Мотивация действий
Получение НСД к
персональным данным
Использование программно-аппаратных закладок с целью внедрения вредоносных
программ является экономически и технологически невыгодным для обозначенных выше
групп актуальных нарушителей безопасности ПДн при их обработке в ИСПДн. Таким
образом, источник УБПДн И9 (программно-аппаратная закладка) в данной модели угроз
можно не рассматривать.
Кроме того, для анализируемой ИСПДн характерны категории источников угроз
безопасности ПДн за счет УИТК, перечисленные в Таблица А.
Таблица А.2. Полный перечень источников угроз безопасности ПДн за счет УИТК
Код
ИТ1
ИТ2
ИТ3
Источник угрозы
Физические лица, не имеющие доступа к ИСПДн
Зарубежные спецслужбы или организации (в т.ч. конкурирующие и террористические)
Криминальные группировки
А.2 Определение уязвимостей ИСПДн и технических каналов утечки ПДн в
ИСПДн
Для анализируемой ИСПДн характерны уязвимости, перечисленные в Таблице А.3.
15
Таблица А.3. Перечень характерных для ИСПДн уязвимостей
Код
Наименование уязвимости
У1
Уязвимости ПО
Уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов
У3
передачи данных
У4
Уязвимости, вызванные недостатками организации ТЗИ от НСД
У5
Уязвимости СЗИ
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе, отказов
У6
этих средств
Использование программно-аппаратных закладок с целью внедрения вредоносных
программ является экономически и технологически невыгодным для обозначенных выше
групп актуальных нарушителей безопасности ПДн при их обработке в ИСПДн. Таким
образом, уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки У2 в
данной модели угроз можно не рассматривать.
Кроме того, для ИСПДн характерны технические каналы утечки ПДн, перечисленные в
Таблице А.4.
Таблица А.4. Перечень характерных для ИСПДн технических каналов утечки ПДн
Каналы утечки видовой информации
Экраны дисплеев и других средств отображения графической, видео- и буквенно-цифровой
УТ7
информации
УТ8 Закладки в служебных помещениях или скрытно используемые при посещении помещений
УТ9 Видеозакладки
Каналы утечки за счет ПЭМИН
УТ10 Побочные электромагнитные излучения ТС и линий передачи информации
УТ11 Наводки сигнала на цепи питания и линии связи
УТ12 Радиоизлучение при работе генераторов или «паразитная генерация»
УТ13 Радиоизлучения в результате высокочастотного облучения ТС (ВЧ-навязывание)
УТ14 Цепи ТС, линии связи и передачи данных, выходящие за пределы служебных помещений
УТ15 Арендуемые каналы передачи информации
Каналы утечки посредством сотового, пейджингового, спутникового и беспроводного
каналов передачи данных не рассматривается, так как в ИСПДн средства, реализующие
указанные каналы, не применяются.
Каналы утечки/акустической речевой информации не рассматриваются, так как в
ИСПДн данные не передаются посредством акустических волн.
А.3 Определение объектов воздействия угроз безопасности ПДн в ИСПДн
В анализируемой ИСПДн присутствуют объекты воздействия угроз безопасности ПДн,
перечисленные в Таблице А.5.
Таблица А.5. Перечень характерных для ИСПДн объектов воздействия угроз безопасности ПДн
Код
Объект воздействия
Информация, на АРМ (узле) вычислительной сети, находящаяся на встроенных
О2
носителях долговременного хранения информации»
Информация, обрабатываемая на АРМ (узле) вычислительной сети, находящаяся в
О3
средствах обработки и хранения оперативной информации типа «оперативная память»
Информация в средствах, реализующих сетевое взаимодействие, и каналах передачи
О4
данных в сети
Объект воздействия «Информация, обрабатываемая на АРМ (узле) вычислительной
сети, находящаяся на отчуждаемых носителях информации не рассматривается, так как в
ИСПДн ПДн хранятся только на серверах и АРМ ИСПДн, но не на отчуждаемых носителях.
16
Кроме того, для ИСПДн характерны объекты воздействия угроз безопасности за счет
утечки ПДн по техническим каналам, перечисленные в Таблице А.6.
Таблица А.6. Перечень характерных для ИСПДн объектов воздействия угроз безопасности за
счет утечки ПДн по техническим каналам
Код
Объекты воздействия
ОТ3 Технические средства ИСПДн и ВТСС
Объекты воздействия «Пользователь, осуществляющий голосовой ввод ПДн в
ИСПДн» и «Акустическая система ИСПДн, воспроизводящая ПДн» не рассматриваются,
так как голосовое воспроизведение ПДн при обработке в ИСПДн не производится.
17
А.4 Определение способов реализации уязвимостей ИСПДн
В анализируемой ИСПДн возможны способы реализации угроз, перечисленные в
Таблице А.7.
Таблица А.7. Перечень характерных для ИСПДн способов реализации уязвимостей
Код
Способ реализации угрозы за счет НСД
С1 Использование существующих уязвимостей ПАО ИСПДн, позволяющих обойти СЗИ
Использование существующих уязвимостей ПАО ИСПДн, позволяющих деструктивно
С2
воздействовать на СЗИ
Использование существующих уязвимостей ПАО ИСПДн, позволяющих вскрывать или
С3
перехватывать пароли
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С4
уязвимости ПСВ и КПД, позволяющие перехватывать информацию
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С5
уязвимости ПСВ и КПД, позволяющие модифицировать передаваемые данные
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С6 уязвимости ПСВ и КПД, позволяющие перегружать ресурсы ИСПДн (отказ в
обслуживании)
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С7
уязвимости ПСВ и КПД, позволяющие внедрять вредоносные программы
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С8
уязвимости ПСВ и КПД, позволяющие получать удаленный НСД к системе
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С9 уязвимости ПСВ и КПД, позволяющие разглашать и организовывать утечку информации на
незащищенные рабочие места ИСПДн
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С10
остаточную, неучтенную информацию (сбор «мусора»)
Внедрение (внесение) новых уязвимостей в ИСПДн на этапе проектирования, разработки и
С12
сопровождения
В связи с тем, что в ИСПДн технически ограничены права пользователей на установку
нештатного ПО, способ реализации уязвимостей С11 (Использование существующих
уязвимостей
ПАО
ИСПДн,
позволяющих
использовать
нетрадиционные
(стеганографические) каналы передачи информации) не рассматривается.
Кроме того, для ИСПДн характерны способы реализации уязвимостей за счет утечки
ПДн по техническим каналам, перечисленные в Таблице А.8.
Таблица А.8. Перечень характерных для ИСПДн способов реализации уязвимостей за счет
утечки ПДн по техническим каналам
Код
Способы реализации угроз УИТК
Непосредственное наблюдение в служебных помещениях либо с расстояния прямой
СТ6
видимости из-за пределов ИСПДн
СТ7 Наблюдение на значительном расстоянии при помощи спецсредств
СТ8 Регистрация и перехват ПЭМИ ТС
СТ10 Наводки информативного сигнала в цепях заземления и пр.
СТ11 Съем информативных сигналов в цепях электропитания ТС ИСПДн
Способы реализации угроз, направленные на перехват акустической волны, не
рассматриваются, так как передача ПДн посредством акустических волн в ИСПДн не
производится. Поэтому применение таких способов реализации угроз, как применение
микрофонов воздушной проводимости, вибропреобразователей, оптико-электронной
аппаратуры, средств высокочастотного навязывания и облучения, акустооптических
модуляторов не анализируется в данной модели угроз.
18
А.5 Определение деструктивных воздействий на ИСПДн за счет реализации угроз
безопасности ПДн
В анализируемой ИСПДн возможны способы реализации уязвимостей, перечисленные
в Таблице А.9.
Таблица А.9. Перечень характерных для ИСПДн последствий реализации уязвимостей ИСПДн
Код
Деструктивное воздействие
Д1 Нарушение конфиденциальности
Д2 Нарушение целостности
Д3 Нарушение доступности
А.6 Определение степени актуальности угроз безопасности ПДн
Исходя из порядка определения актуальности основных групп угроз, изложенного в
Приложении В, в ИСПДн существуют риски реализации групп угроз, представленные в
Таблицах А.10-А.23 (см. ниже).
19
Таблица А.10. Определение степени актуальности угрозы непосредственного доступа до загрузки ОС
Описание угрозы
Возможность
реализации
угрозы
Вероятность реализации угрозы
Угрозы, направленные на выполнение
непосредственно НСД к информации. При
получении доступа в операционную среду
нарушитель может воспользоваться как
стандартными функциями ОС или какой-либо
прикладной программы общего пользования, так и
специально созданными для выполнения НСД
программами.
Источники угроз
Средняя (Y2=5)
Вероятность реализации данной угрозы является
средней, так как применяются средства
аутентификации на уровне ОС и прикладного
обеспечения, а также применяются
организационные меры, запрещающие
распространять учетные записи и пароли к ним.
Но, при этом, применяемые СЗИ не
сертифицированы.
Уязвимости
У5
Средняя
(Y=0,5)
Средняя
С6
Актуальна
Объекты
воздействия
Способы реализации
С5
Опасность Актуальность
угрозы
угрозы
ДВ
И1
И2
И3
И4
И5
И6
И7
И8
И10
У1
У3
У4
У6
С1
С2
С3
С4
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
–
–
+
+
–
–
+
+
–
–
–
– + +
–
–
–
+ + + +
–
–
–
–
–
+
+
–
+
+
+
Таблица А.11. Определение степени актуальности угрозы непосредственного доступа после загрузки ОС
Возможность
Описание угрозы
Вероятность реализации угрозы
реализации
угрозы
Средняя (Y2=5)
Угрозы, направленные на выполнение
Вероятность реализации данной угрозы является
непосредственно НСД к информации. При
средней, так как применяются средства
получении доступа в операционную среду
аутентификации на уровне ОС и прикладного
нарушитель может воспользоваться как
Средняя
обеспечения, а также применяются
стандартными функциями ОС или какой-либо
(Y=0,5)
организационные меры, запрещающие
прикладной программы общего пользования, так и
распространять учетные записи и пароли к ним.
специально созданными для выполнения НСД
Но, при этом, применяемые СЗИ не
программами.
сертифицированы.
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
20
Источники угроз
Уязвимости
У5
Объекты
воздействия
Способы реализации
С5
С6
ДВ
И1
И2
И3
И4
И5
И6
И7
И8
И10
У1
У3
У4
У6
С1
С2
С3
С4
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
–
–
+
+
–
–
+
+
–
–
–
– + +
–
–
–
+ + + +
–
–
–
–
–
+
+
–
+
+
+
Таблица А.12. Определение степени актуальности угрозы анализа сетевого трафика
Вероятность реализации угрозы
Возможность
реализации
угрозы
Средняя (Y2=5)
Вероятность реализации данной угрозы является
средней , так как для содержащего ПДн трафика,
который передается по внешним каналам связи,
применяются средства шифрования VPN, что
затрудняет злоумышленнику его прослушивание. Но
при этом средства VPN не сертифицированы.
Для реализации данной угрозы применительно к
внутренним каналам связи необходимо произвести
подмену в сети объекта, который участвует в обмене
ПДн. Для этого необходимо либо реализовать угрозу
«Внедрение ложного объекта в сети», либо
установить специальное ПО типа «Sniffer» на
технические средства ИСПДн (АРМ, сервер,
коммуникационное оборудование). Установка
специального ПО затруднительна, поскольку
применяются средства антивирусной защиты на
АРМ и серверах ИСПДн. Но при этом применяются
не сертифицированные средства антивирусной
защиты и система обнаружения атак. Доступ к
сетевому оборудованию для сотрудников запрещен
либо ограничен.
Средняя
(Y=0,5)
Описание угрозы
Угрозы, реализуемые с помощью специальной
программы-анализатора пакетов,
перехватывающей все пакеты, передаваемые по
сегменту сети, и выделяющей среди них те, в
которых передаются идентификатор пользователя
и его пароль. В ходе реализации угрозы изучается
логика работы сети, что позволяет нарушителю
получить права на действия в системе или
расширить свои полномочия в ней, перехватить
поток передаваемых данных, которыми
обмениваются компоненты сетевой операционной
системы, для извлечения конфиденциальной или
идентификационной информации, ее подмены,
модификации и т.п.
Источники угроз
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
–
+
+
–
–
+
+
+
У1
У3
У4
У5
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
Объекты
воздействия
Способы реализации
ДВ
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
+ + + + –
–
–
–
–
+
–
–
–
–
–
–
–
–
–
+
+
–
–
21
Таблица А.13. Определение степени актуальности угрозы сканирования сети
Описание угрозы
Возможность
реализации
угрозы
Вероятность реализации угрозы
Угрозы, заключающиеся в передаче запросов
сетевым службам хостов ИСПДн и анализе ответов
от них. Цель - выявление используемых
протоколов, доступных портов сетевых служб,
законов формирования идентификаторов
соединений, определение активных сетевых
сервисов, подбор идентификаторов и паролей
пользователей.
Источники угроз
Низкая (Y2=2)
Вероятность реализации данной угрозы является
низкой, так как доступ к серверам ИСПДн
производится через канал связи VPN, либо из
контролируемой зоны. При этом, внешний доступ
контролируется МЭ, находящимися под контролем.
Организационными мерами не ограничено
выполнение сетевого сканирования.
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
–
+
+
–
–
+
+
+
У1
Средняя
(Y=0,35)
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
Объекты
воздействия
Способы реализации
ДВ
У3
У4
У5
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
+ –
–
–
–
–
–
+
–
–
+
–
–
–
–
–
–
–
–
+
+
–
–
Таблица А.14. Определение степени актуальности угрозы выявления пароля
Описание угрозы
Угрозы, цель реализации которых состоит в
получении НСД путем преодоления парольной
защиты. Злоумышленник может реализовывать
угрозу с помощью таких методов, как простой
перебор, перебор с использованием специальных
словарей, установка вредоносной программы для
перехвата пароля, подмена доверенного объекта
сети и перехват пакетов.
Вероятность реализации угрозы
Возможность
реализации
угрозы
Низкая (Y2=2)
Вероятность реализации данной угрозы является
низкой, так как для доступа к ПДн применяются
сложные пароли длинной не менее 8 символов,
применяются организационные меры, запрещающие
распространение и передачу паролей и учетных
записей, но при этом возможна угроза «Анализ
сетевого трафика».
Средняя
(Y=0,35)
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
22
Источники угроз
Уязвимости
У5
Объекты
воздействия
Способы реализации
ДВ
И1
И2
И3
И4
И5
И6
И7
И8
И10
У1
У3
У4
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
–
–
+
+
–
–
–
–
–
–
–
– + –
–
–
+
–
–
–
–
–
–
–
–
–
+
+
+
+
+
+
Таблица А.15. Определение степени актуальности угрозы подмены доверенного объекта сети
Описание угрозы
Возможность
реализации
угрозы
Вероятность реализации угрозы
Угрозы, реализующиеся в системах, где
применяются нестойкие алгоритмы
идентификации и аутентификации хостов,
пользователей и т.д. Под доверенным объектом
понимается объект сети (компьютер, межсетевой
экран, маршрутизатор и т.п.), легально
подключенный к серверу.
Источники угроз
Средняя (Y2=5)
Вероятность реализации данной угрозы является
средней, так как события доступа к сетевому
оборудованию контролируются, сетевая
идентификация применяется только при
установлении внешнего соединения(VPN) с
удаленными площадками, также применяется
система обнаружения атак. При этом, средства VPN
и система обнаружения атак не сертифицированы.
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
–
+
–
–
–
+
–
–
У1
У3
У4
У5
Средняя
(Y=0,5)
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
Объекты
воздействия
Способы реализации
ДВ
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
– + + + –
–
–
–
–
+
–
+
–
–
–
–
–
–
–
+
+
–
–
Таблица А.16. Определение степени актуальности угрозы навязывания ложного маршрута
Описание угрозы
Угрозы, реализующиеся путем внутрисегментного или
межсегментного навязывания. Возможность навязывания
ложного маршрута обусловлена недостатками, присущими
алгоритмам маршрутизации, в результате чего можно
попасть на хост или в сеть, войти в операционную среду
технического средства в составе ИСПДн.
Вероятность реализации угрозы
Возможность
реализации
угрозы
Средняя (Y2=5)
Вероятность реализации данной угрозы
является средней, так как контроль за
таблицей маршрутизаций и настройками
сетевого оборудования производится. При
этом, средства межсетевого
экранирования не сертифицированы.
Средняя
(Y=0,5)
Опасность Актуальность
угрозы
угрозы
Средняя
Актуальна
23
Источники угроз
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
+
+
+
–
–
+
–
–
У1
У3
У4
Объекты
воздействия
Способы реализации
ДВ
У5
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
– + + –
–
–
+
–
+
–
+
–
+
–
–
–
–
–
–
+
+
–
+
Таблица А.17. Определение степени актуальности угрозы внедрения ложного объекта
Описание угрозы
Вероятность реализации угрозы
Возможность
реализации
угрозы
Угрозы, основанные на использовании недостатков
алгоритмов удаленного поиска. В случае, если объекты сети
изначально не имеют адресной информации друг о друге,
используются различные протоколы удаленного поиска,
заключающиеся в передаче по сети специальных запросов и
получении на них ответов с искомой информацией. При
перехвате нарушителем поискового запроса и выдачи на
него ложного ответа возможно изменение маршрутноадресных данных. Далее весь поток информации будет
проходить через ложный объект сети.
Средняя (Y2=5)
Вероятность реализации данной угрозы
является средней, так как физическое
внедрение ложного объекта
затруднительно в связи с применением
средств контроля доступа в помещения, в
том числе серверные помещения.
Изменение настроек ARP-таблицы
возможно только на серверах, так на АРМ
доступ к ARP-таблицам сотрудникам не
предоставлен. Доступ к таблицам macадресов на сетевом оборудовании
ограничен. При этом, система
обнаружения атак не сертифицирована.
Средняя
(Y=0,5)
Источники угроз
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
+
–
–
–
–
+
–
+
У1
У3
У4
Опасность
угрозы
Актуальность
угрозы
Средняя
Актуальна
Объекты
воздействия
Способы реализации
ДВ
У5
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
– + + –
–
–
+ +
–
+ +
–
–
–
–
–
–
+
–
+
+
+
+
24
Таблица А.18. Определение степени актуальности угрозы отказа в обслуживании
Описание угрозы
Вероятность реализации угрозы
Возможность
реализации
угрозы
Опасность
угрозы
Актуальность
угрозы
Угрозы, основанные на недостатках сетевого программного
обеспечения, его уязвимостях, позволяющих нарушителю
создавать условия, когда операционная система оказывается
не в состоянии обрабатывать поступающие пакеты и
запросы.
Средняя (Y2=5)
Вероятность реализации данной угрозы
является среденей, так как применяются
средства обнаружения атак и МЭ,
которые управляются. При этом, средства
обнаружения атак и МЭ не
сертифицированы. Кроме того,
встроенными механизмами ОС и СУБД
не применяются средства тайм-аута,
направленные на ограничение сетевых
соединений, что оставляет возможность
переполнить буфер компонента ИСПДн и
привести к отказу в обслуживании.
Средняя
(Y=0,5)
Низкая
Неактуальна
Источники угроз
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
+
+
+
+
–
–
–
+
–
У1
У3
У4
У5
Объекты
воздействия
Способы реализации
ДВ
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
– + + + –
–
+
–
+
–
+ +
–
–
+
–
–
+
+
+
–
–
+
Таблица А.19. Определение степени актуальности угрозы удаленного запуска приложений
Описание угрозы
Угрозы, заключающиеся в запуске на хосте ИСПДн
различные предварительно внедренные вредоносные
программы, цель которых – нарушение
конфиденциальности, целостности, доступности
информации и полный контроль за работой хоста. Также
возможен несанкционированный запуск прикладных
программ пользователей для получения необходимых
нарушителю данных.
Вероятность реализации угрозы
Возможность
реализации
угрозы
Опасность
угрозы
Актуальность
угрозы
Средняя (Y2=5)
Вероятность реализации данной угрозы
является средней, так как запуск
вредоносных программ ограничен за счет
применения средства антивирусной
защиты. При этом, средства
антивирусной защиты не
сертифицированы.
Средняя
(Y=0,5)
Средняя
Актуальна
25
Источники угроз
Уязвимости
У4
У5
Объекты
воздействия
Способы реализации
ДВ
И1
И2
И3
И4
И5
И6
И7
И8
И10
У1
У3
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
–
–
–
+
–
–
+
–
–
–
– + + –
–
–
+
–
+
–
–
+
–
–
–
–
+
+
–
+
–
–
Таблица А.20. Определение степени актуальности угрозы от вредоносных программ, распространяемых по сети
Возможность
Описание угрозы
Вероятность реализации угрозы
реализации
угрозы
Средняя (Y2=5)
Вероятность реализации данной угрозы
является средней, так как АРМ имеют
доступ к внешним сетям Интернет, что
Угрозы, заключающиеся во вредоносном воздействии на
способствует распространению
Средняя
программную среду программ (вирусы, трояны, и т.д.),
вредоносного ПО. Однако, применяются
(Y=0,5)
распространяемых по сети
средства антивирусной защиты и система
обнаружения атак. При этом, средства
антивирусной защиты и система
обнаружения атак не сертифицированы.
Источники угроз
Уязвимости
И1
И2
И3
И4
И5
И6
И7
И8
И10
–
–
+
–
+
–
+
+
–
У1
У3
У4
У5
Актуальность
угрозы
Средняя
Актуальна
Объекты
воздействия
Способы реализации
С4
Опасность
угрозы
ДВ
У6
С1
С2
С3
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
– + + + –
–
–
+ + +
–
–
–
+
+
–
–
+
+
–
+
+
+
Таблица А.21. Определение степени актуальности угрозы от вредоносных программ, распространяемых через отчуждаемые носители
Возможность
Опасность Актуальность
Описание угрозы
Вероятность реализации угрозы
реализации
угрозы
угрозы
угрозы
Средняя (Y2=5)
Вероятность реализации данной угрозы
Угрозы, заключающиеся во вредоносном воздействии на
является средняй, так как применяются
Средняя
программную среду программ (вирусы, трояны, и т.д.),
Средняя
Актуальна
средства контроля подключения USB(Y=0,5)
распространяемых через отчуждаемые носители
устройств. При этом, данные средства не
сертифицированы.
26
Источники угроз
Уязвимости
У4
У5
Объекты
воздействия
Способы реализации
ДВ
И1
И2
И3
И4
И5
И6
И7
И8
И10
У1
У3
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
С10
С12
О1
О2
О3
О4
Д1
Д2
Д3
–
+
+
+
–
+
+
–
–
–
– + + –
–
–
+ +
–
–
+
–
–
–
–
–
+
+
–
+
+
+
Таблица А.22. Определение степени актуальности угроз, связанных с утечкой акустической (речевой) информации
Возможность
Описание угрозы
Вероятность реализации угрозы
реализации
угрозы
Низкая (Y2=2)
Вероятность реализации данной угрозы
Возникновение угроз утечки акустической (речевой)
низкая, так как организационными
информации, содержащейся непосредственно в
мерами запрещено открытое обсуждение
произносимой речи пользователя ИСПДн, при обработке
Средняя
конфиденциальной информации.
ПДн в ИСПДн, обусловлено наличием функций голосового
(Y=0,35)
Функции голосового ввода ПДн в
ввода ПДн в ИСПДн или функций воспроизведения ПДн
ИСПДн и воспроизведения ПДн
акустическими средствами ИСПДн
акустическими средствами ИСПДн не
применяются.
Источники угроз
ИТ1
ИТ2
ИТ3
+
+
+
УТ1
УТ2
–
–
Каналы утечки
УТ3
УТ4
–
–
УТ5
УТ6
СТ1
–
–
–
Способ реализации
СТ2
СТ3
СТ4
СТ5
–
–
–
–
Опасность
угрозы
Актуальность
угрозы
Низкая
Неактуальна
СТ9
–
Объекты воздействия
ОТ1
ОТ2
ОТ3
–
–
+
Таблица А.23. Определение степени актуальности угроз, связанных с утечкой видовой информации
Описание угрозы
Вероятность реализации угрозы
Возможность
реализации
угрозы
Опасность
угрозы
Актуальность
угрозы
Угрозы утечки видовой информации реализуются за счет
просмотра ПДн с помощью оптических (оптикоэлектронных)
средств с экранов дисплеев и других средств отображения
средств вычислительной техники, информационновычислительных комплексов, технических средств обработки
графической, видео- и буквенно-цифровой информации,
входящих в состав ИСПДн
Низкая (Y2=2)
Вероятность реализации данной угрозы
низкая, так как применяются жалюзи на
окнах помещений, в которых
установлены компоненты ИСПДн.
Кроме этого, неконтролируемое
пребывание посторонних лиц в
Средняя
(Y=0,35)
Низкая
Неактуальна
27
помещениях ИСПДн значительно
затруднено.
ИТ1
ИТ2
ИТ3
УТ7
УТ8
УТ9
СТ6
СТ7
Объекты
воздействия
ОТ3
+
+
+
+
+
+
+
–
+
Источники угроз
Каналы утечки
Способ реализации
Таблица А.24. Определение степени актуальности угроз, связанныз с утечкой информации по каналам ПЭМИН
Возможность
Описание угрозы
Вероятность реализации угрозы
реализации
угрозы
Низкая (Y2=2)
Вероятность реализации данной угрозы
низкая, так как компоненты ИСПДн
располагаются в пределах зоны R2.
Возникновение угрозы утечки ПДн по каналам ПЭМИН
Кроме того, для обработки ПДн
возможно за счет перехвата техническими средствами
используются средства вычислительной
побочных (не связанных с прямым функциональным
техники, удовлетворяющие требованиям
Средняя
значением элементов ИСПДн) информативных
национальных стандартов по
(Y=0,35)
электромагнитных полей и электрических сигналов,
электромагнитной
совместимости,
возникающих при обработке ПД техническими средствами
по безопасности и эргономическим
ИСПДн
требованиям к средствам
отображения информации, по
санитарным нормам, предъявляемым к
видеодисплейным терминалам средств
вычислительной техники.
Опасность
угрозы
Актуальность
угрозы
Низкая
Неактуальна
ИТ1
ИТ2
ИТ3
УТ10
УТ11
УТ12
УТ13
УТ14
УТ15
УТ16
СТ8
СТ10
СТ11
Объекты
воздействия
ОТ3
+
+
+
+
+
+
+
+
–
–
+
+
+
+
Источники угроз
Каналы утечки
Способ реализации
28
Приложение Б. Методика определения уровня исходной защищенности
ИСПДн
Определение актуальных угроз безопасности ПДн производится на основе
определенных ранее полных перечней источников угроз безопасности, уязвимостей и
способов реализации угроз.
На первом этапе по результатам анализа предоставленных исходных данных и
результатов обследования состояния защищённости ИСПДн определяется уровень её
исходной защищенности, характеризуемый числовым коэффициентом Y1.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель,
зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в
Таблице Б.1:
Таблица Б.1. Характеристики ИСПДн для определения уровня исходной защищенности
ИСПДн
Уровень защищенности
Технические и эксплуатационные характеристики
ИСПДн
Высокий
Средний
Низкий
1. По территориальному размещению
распределенная ИСПДн, которая охватывает несколько
+
областей, краев, округов или государство в целом
городская ИСПДн, охватывающая не более одного
+
населенного пункта (города, поселка)
корпоративная распределенная ИСПДн, охватывающая
+
многие подразделения одной организации
локальная (кампусная) ИСПДн, развернутая в пределах
+
нескольких близко расположенных зданий
локальная ИСПДн, развернутая в пределах одного
+
здания
2. По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего
+
пользования;
ИСПДн, имеющая одноточечный выход в сеть общего
+
пользования
ИСПДн, физически отделенная от сети общего
+
пользования
3. По встроенным (легальным) операциям с записями баз персональных данных
чтение, поиск
+
-
-
запись, удаление, сортировка
-
+
-
модификация, передача
-
-
+
4. По разграничению доступа к персональным данным
ИСПДн, к которой имеет доступ определенный
перечень сотрудников организации, являющейся
–
+
владельцем ИСПДн, либо субъект ПДн
ИСПДн, к которой имеют доступ все сотрудники
организации, являющейся владельцем ИСПДн
ИСПДн с открытым доступом
5. По наличию соединений с другими базами ПДн иных ИСПДн
интегрированная ИСПДн (организация использует
несколько баз ПДн ИСПДн, при этом организация не
–
является владельцем всех используемых баз ПДн)
+
+
+
29
Уровень защищенности
Технические и эксплуатационные характеристики
ИСПДн
Высокий
Средний
Низкий
ИСПДн, в которой используется одна база ПДн,
принадлежащая организации - владельцу данной
+
ИСПДн
6. По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю
данные являются обезличенными (на уровне
+
организации, отрасли, области, региона и т.д.);
ИСПДн, в которой данные обезличиваются только при
передаче в другие организации, и не обезличены при
+
предоставлении их пользователю в организации;
ИСПДн, в которой предоставляемые пользователю
данные не являются обезличенными (т.е. присутствует
+
информация, позволяющая идентифицировать субъекта
ПДн).
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без
предварительной обработки
ИСПДн, предоставляющая всю БД с ПДн;
ИСПДн, предоставляющая часть ПДн;
ИСПДн, не предоставляющие никакой информации.
+
+
-
+
-
Исходная степень защищенности определяется следующим образом:
– Y1 = 0 – ИСПДн имеет высокий уровень исходной защищенности, если не менее
70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются
положительные решения но первому столбцу, соответствующему высокому уровню
защищенности), а остальные – среднему уровню защищенности (положительные решения по
второму столбцу).
– Y1 = 5 – ИСПДн имеет средний уровень исходной защищенности, если не
выполняются условия предыдущего пункта и не менее 70% характеристик ИСПДн
соответствуют уровню не ниже «средний» (берется отношение суммы положительных
решений по второму столбцу, соответствующему среднему уровню защищенности, к общему
количеству решений), а остальные – низкому уровню защищенности.
– Y1 = 10 – ИСПДн имеет низкую степень исходной защищенности, если не
выполняются условия двух предыдущих пунктов.
30
Приложение В. Методика моделирования угроз безопасности ПДн
В.1 Формальное описание понятия угрозы
В соответствии с формальным представлением понятия угрозы, изложенным в [1],
связанные с НСД угрозы представляются в виде декартова произведения элементов
множества обобщенных классов возможных источников угроз НСД, уязвимостей
программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов
воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн
или самих ПДн) и возможных деструктивных воздействий. Такое представление
описывается следующей формализованной записью:
угроза НСД = <источник угрозы> X <уязвимость программного или аппаратного
обеспечения> Х <способ реализации угрозы> Х <объект воздействия> Х <деструктивное
воздействие>.
Аналогично, можно представить описание угрозы утечки информации по техническим
каналам (УИТК) как декартово произведение элементов множества обобщенных классов
возможных источников угроз утечки по ТК, каналов утечки ПДн, способов реализации угроз
и объектов воздействия (носителей защищаемой информации). Такое представление
описывается следующей формализованной записью:
угроза УИТК = <источник угрозы> X <канал УИТК> Х <способ реализации угрозы> Х
<объект воздействия>.
Таким образом, перед началом оценки актуальности угроз безопасности ПДн, в
соответствии с [1], необходимо провести классификацию элементов описания угроз.
В.2 Классификация элементов описания угроз
В.2.1 Классификация источников угроз безопасности в ИСПДн
Таблица В.1. Полный перечень источников угроз безопасности ПДн за счет НСД
Код
Источник угрозы
И1 Внешний нарушитель
И2 Лица, имеющие санкционированный доступ в контролируемую зону, но не имеющие
доступа к ПДн
И3 Зарегистрированные пользователи, имеющие ограниченные права доступа к ПДн ИСПДн с
рабочего места
И4 Пользователи ИР, осуществляющие удаленный доступ к ПДн по ЛВС
И5 Зарегистрированный пользователь с полномочиями системного администратора ИСПДн
И6 Зарегистрированный пользователь с полномочиями администратора безопасности ИСПДн
И7 Программисты-разработчики прикладного ПО и лица, обеспечивающие его сопровождение
в ИСПДн
И8 Разработчики и лица, обеспечивающие поставку, сопровождение ТС в ИСПДн
И9 Программно-аппаратная закладка
И10 Вредоносная программа
Таблица В.2. Полный перечень источников угроз безопасности ПДн за счет УИТК
Код
Источник угрозы
ИТ1 Физические лица, не имеющие доступа к ИСПДн
ИТ2 Зарубежные спецслужбы или организации (в т.ч. конкурирующие и террористические)
ИТ3 Криминальные группировки
В.2.2 Классификация уязвимостей и каналов УИТК в ИСПДн
Таблица В.3. Полный перечень уязвимостей ИСПДн
Код
Уязвимость ИСПДн
У1
Уязвимости ПО
31
Код
У2
У3
У4
У5
У6
Уязвимость ИСПДн
Уязвимости, вызванные наличием в ИСПДн программно-аппаратной закладки
Уязвимости, связанные с реализацией протоколов сетевого взаимодействия и каналов
передачи данных
Уязвимости, вызванные недостатками организации ТЗИ от НСД
Уязвимости СЗИ
Уязвимости программно-аппаратных средств ИСПДн в результате сбоев в работе, отказов
этих средств
Таблица В.4. Полный перечень каналов УИТК
Код
Канал УИТК
Каналы утечки акустической/речевой информации
УТ1 Акустическое излучение информативного речевого сигнала
УТ2 Виброакустические сигналы
УТ3 «Микрофонный эффект»
УТ4 ВЧ-навязывание
УТ5 ВЧ-облучение
УТ6 «Оптические микрофоны»
Каналы утечки видовой информации
УТ7 Экраны дисплеев и других средств отображения графической, видео- и буквенно-цифровой
информации
УТ8 Закладки в служебных помещениях или скрытно используемые при посещении помещений
УТ9 Видеозакладки
Каналы утечки через ПЭМИН
УТ10 Побочные электромагнитные излучения ТС и линий передачи информации
УТ11 Наводки сигнала на цепи питания и линии связи
УТ12 Радиоизлучение при работе генераторов или «паразитная генерация»
УТ13 Радиоизлучения в результате высокочастотного облучения ТС (ВЧ-навязывание)
УТ14 Цепи ТС, линии связи и передачи данных, выходящие за пределы служебных помещений
УТ15 Арендуемые каналы передачи информации
УТ16 Сотовые, пейджинговые, спутниковые, беспроводные каналы и сети передачи данных
В.2.3 Классификация способов реализации угрозы
Таблица В.5. Полный перечень способов реализации угроз за счет НСД
Код
Способ реализации угрозы за счет НСД
С1 Использование существующих уязвимостей ПАО ИСПДн, позволяющих обойти СЗИ
Использование существующих уязвимостей ПАО ИСПДн, позволяющих деструктивно
С2
воздействовать на СЗИ
Использование существующих уязвимостей ПАО ИСПДн, позволяющих вскрывать или
С3
перехватывать пароли
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С4
уязвимости ПСВ и КПД, позволяющие перехватывать информацию
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С5
уязвимости ПСВ и КПД, позволяющие модифицировать передаваемые данные
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С6 уязвимости ПСВ и КПД, позволяющие перегружать ресурсы ИСПДн (отказ в
обслуживании)
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С7
уязвимости ПСВ и КПД, позволяющие внедрять вредоносные программы
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С8
уязвимости ПСВ и КПД, позволяющие получать удаленный НСД к системе
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С9 уязвимости ПСВ и КПД, позволяющие разглашать и организовывать утечку информации на
незащищенные рабочие места ИСПДн
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
С10
остаточную, неучтенную информацию (сбор «мусора»)
32
Код
С11
С12
Способ реализации угрозы за счет НСД
Использование существующих уязвимостей ПАО ИСПДн, позволяющих использовать
нетрадиционные (стеганографические) каналы передачи информации
Внедрение (внесение) новых уязвимостей в ИСПДн на этапе проектирования, разработки и
сопровождения
Таблица В.6. Полный перечень способов реализации угроз УИТК
Код
Способы реализации угроз УИТК
СТ1 Микрофоны воздушной проводимости
СТ2 Вибропреобразователи
СТ3 Оптико-электронная аппаратура («лазерные микрофоны»)
СТ4 Средства высокочастотного навязывания и облучения
СТ5 Акустооптические модуляторы
СТ6 Непосредственное наблюдение в служебных помещениях либо с расстояния прямой
видимости из-за пределов ИСПДн
СТ7 Наблюдение на значительном расстоянии при помощи спецсредств
СТ8 Регистрация и перехват ПЭМИ ТС
СТ9 Облучение ТС, ВЧ-навязывание
СТ10 Наводки информативного сигнала в цепях заземления и пр.
СТ11 Съем информативных сигналов в цепях электропитания ТС ИСПДн
В.2.4 Классификация объектов воздействия угроз безопасности ПДн
Таблица В.7. Полный перечень объектов воздействия угроз безопасности ПДн за счет НСД
Код
Объект воздействия
Информация, обрабатываемая на АРМ (узле) вычислительной сети, находящаяся на
О1
отчуждаемых носителях информации
Информация, обрабатываемая на АРМ (узле) вычислительной сети, находящаяся на
О2
встроенных носителях долговременного хранения информации
Информация, обрабатываемая на АРМ (узле) вычислительной сети, находящаяся в
О3
средствах обработки и хранения оперативной информации типа «оперативная память»
Информация в средствах, реализующих сетевое взаимодействие, и каналах передачи данных
О4
в сети
Таблица В.8. Полный перечень объектов воздействия угроз безопасности ПДн за счет УИТК
Код
Объекты воздействия
ОТ1 Пользователь, осуществляющий голосовой ввод ПДн в ИСПДн
ОТ2 Акустическая система ИСПДн, воспроизводящая ИСПДн
ОТ3 Технические средства ИСПДн и ВТСС
В.2.5 Классификация деструктивных воздействий за счет НСД к ПДн
Таблица В.9. Полный перечень деструктивных воздействий за счет НСД к ПДн
Код
Деструктивное воздействие
Д1 Нарушение конфиденциальности
Д2 Нарушение целостности
Д3 Нарушение доступности
В.3 Порядок оценки актуальности угроз безопасности ПДн при их
обработке в ИСПДн
Работы по оценке актуальности УБПДн проводятся по следующему алгоритму [2]:
– определение элементов описания угроз, актуальных для анализируемой ИСПДн и
формирование перечня угроз;
– расчет вероятности реализации УБПДн;
– расчет коэффициента реализуемости угрозы;
– оценка опасности (ущерба) каждой УБПДн;
33
– определение актуальных угроз
характерных для анализируемой ИСПДн.
из
В.3.1 Определение
анализируемой ИСПДн
описания
элементов
полученного
общего
угроз,
перечня
актуальных
УБПДн,
для
Ключевыми элементами описания угроз являются источники УБПДн и уязвимости
анализируемой ИСПДн.
Описание источников УБПДн, а также возможностей потенциальных нарушителей
дано в приложении В.
Различают следующие группы основных уязвимостей:
– уязвимости системного программного обеспечения (в том числе протоколов
сетевого взаимодействия);
– уязвимости прикладного программного обеспечения (в том числе средств защиты
информации).
Также в качестве отдельного вида уязвимостей ИСПДн рассматриваются технические
каналы утечки информации.
Уязвимости системного программного обеспечения
Уязвимости системного программного обеспечения необходимо рассматривать с
привязкой к архитектуре построения вычислительных систем:
– в микропрограммах, в прошивках запоминающих устройств;
– в средствах операционной системы, предназначенных для управления локальными
ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами,
памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах,
утилитах;
– в средствах операционной системы, предназначенных для выполнения
вспомогательных функций – утилитах (архивирования, дефрагментации и др.), системных
обрабатывающих программах (компиляторах,
компоновщиках, отладчиках и т.п.),
программах, предоставляющих пользователю дополнительные услуги (в специальных
вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного
назначения (библиотеках математических функций, функций ввода/вывода и т.п.);
– в средствах коммуникационного взаимодействия (сетевых средствах) операционной
системы.
Уязвимости в микропрограммах и в средствах операционной системы,
предназначенных для управления локальными ресурсами и вспомогательными функциями,
могут представлять собой:
– функции, процедуры, изменение параметров которых определенным образом
позволяет использовать их для несанкционированного доступа без обнаружения таких
изменений операционной системой;
– фрагменты кода программ, введенные разработчиком, позволяющие обходить
процедуры идентификации, аутентификации, проверки целостности и др.;
– отсутствие необходимых средств защиты (аутентификации, проверки целостности,
проверки форматов сообщений, блокирования несанкционированно модифицированных
функций и т.п.);
– ошибки в программах (в объявлении переменных, функций и процедур, в кодах
программ), которые при определенных условиях (например, при выполнении логических
переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем
защиты информации.
34
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их
программной реализации и обусловлены ограничениями на размеры применяемого буфера,
недостатками процедуры аутентификации, отсутствием проверок правильности служебной
информации и др.
Уязвимости прикладного программного обеспечения
К прикладному программного обеспечению относятся прикладные программы общего
пользования и специальные прикладные программы.
Прикладные программы общего пользования – текстовые и графические редакторы,
медиапрограммы (аудио- и видеопроигрыватели, программные средства приема
телевизионных программ и т.п.), системы управления базами данных, программные
платформы общего пользования для разработки программных продуктов (типа Delphi, Visual
Basic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы – это программы, которые разрабатываются с
целью решения конкретных прикладных задач в ИСПДн.
Уязвимости прикладного программного обеспечения могут представлять собой:
– функции и процедуры, относящиеся к разным прикладным программам и
несовместимые между собой (не функционирующие в одной операционной среде) из-за
конфликтов, связанных с распределением ресурсов системы;
– функции и процедуры, изменение определенным образом параметров которых
позволяет использовать их для проникновения в операционную среду ИСПДн,
использования
штатных
функций
операционной
системы
и
осуществлениянесанкционированного доступа, причем без возможности обнаружения этих
изменений;
– фрагменты кода программ, введенные разработчиком, позволяющие обходить
процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные
в операционной системе;
– отсутствие необходимых средств защиты (аутентификации, проверки целостностии
форматов сообщений, блокирования несанкционированно модифицированных функций и
т.п.);
– ошибки в программах (в объявлении переменных, функций и процедур, кодах
программ), которые при определенных условиях (например, при выполнении логических
переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем
защиты информации, к возможности несанкционированного доступа к информации.
Технические каналы утечки информации
При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации
следующих каналов утечки информации по техническому каналу:
– угрозы утечки акустической (речевой) информации;
– угрозы утечки видовой (визуальной) информации;
– угрозы утечки информации по каналам ПЭМИН.
Возникновение угроз утечки акустической (речевой) информации, содержащейся
непосредственно в произносимой речи пользователя ИСПДн при обработке ПДн в ИСПДн,
обусловлено наличием функций голосового ввода ПДн или функций воспроизведения ПДн
акустическими средствами.
В ИСПДн функции голосового ввода ПДн или функции воспроизведения ПДн
акустическими средствами не используются.
35
Источником угроз утечки видовой (визуальной) информации являются внешние
нарушители (см. Таблицу В.1), которые могут использовать технические средства
просмотра, внедренные в служебные помещения или скрытно используемые данными
физическими лицами.
Среда распространения информативного сигнала (физическая среда, по которой
информативный сигнал может распространяться) является однородной (воздушной).
Угрозы утечки видовой (визуальной) информации реализуются за счет просмотра ПДн
с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн, в том
числе с помощью оптических (оптикоэлектронных) средств.
Возникновение угрозы утечки ПДн по каналам ПЭМИН возможно за счет перехвата
техническими средствами побочных (не связанных с прямым функциональным значением
элементов ИСПДн) информативных электромагнитных полей и электрических сигналов,
возникающих при обработке ПД техническими средствами ИСПДн.
Формирование общего перечня УБПДн, характерного для анализируемой ИСПДн
С учетом вышеприведенных предположений и допущений, а также формальных
описаний угроз, приведенных в разделе Б.1, формируются высокоуровневые таблицы
описания групп угроз, в соответствии с классификацией, приведенной в [1].
Общий перечень групп угроз, составленный в соответствии с [1], выглядит следующим
образом:
Таблица В.10. Классы угроз, характерные для ИСПДн
Наименование класса угроз
Угрозы утечки информации по техническим каналам
Угрозы непосредственного
доступа в операционную
среду ИСПДн со стороны
внутреннего нарушителя
Угрозы
несанкционированного
доступа
Угрозы, реализуемые с
использованием
протоколов межсетевого
взаимодействия
Угрозы, связанные с
внедрением вредоносных
программ (программноматематическое
воздействие)
Наименование подкласса угроз
Угрозы, связанные с утечкой
акустической (речевой) информации по
техническим каналам
Угрозы, связанные с утечкой видовой
информации по техническим каналам
Угрозы, связанные с утечкой информации
по каналам ПЭМИН
Реализуемые в ходе загрузки
операционной системы
Реализуемые после загрузки
операционной системы
Анализ сетевого трафика
Сканирование сети
Угроза выявления пароля
Подмена доверенного объекта сети
Навязывание ложного маршрута
Внедрение ложного объекта сети
Отказ в обслуживании
Удаленный запуск приложений
Распространяемых по сети
Распространяемых через отчуждаемые
носители
Для каждой группы УБПДн создается высокоуровневое описание, включающее в себя
сводную информацию по совокупности элементов описания угроз, характерных для
анализируемой ИСПДн и определенных на предыдущих шагах настоящей методики. Данное
36
описание имеет представление, отраженное в Таблице В.11 (для угроз от НСД) и Таблице
В.12 (для угроз по техническим каналам).
Далее, данные таблицы заполняются, исходя из правил и подходов, изложенных в [2] и
описанных в последующих разделах настоящей методики.
37
Таблица В.11. Табличное представление высокоуровневого описания группы УБПДн от НСД
Вероятность реализации низкая/средняя/высокая
Подкласс угроз
Описание причины вывода
Источники угроз
И1
И2
И3
И4
И5
И6
И7
Уязвимости
И8
И10
У1
У3
У4
У5
У6
С1
С2
С3
С4
С5
С6
С7
С8
С9
Каналы утечки
УТj
Актуальна/
неактуальна
Объекты
воздействия
Способы реализации
С10
С12
Таблица В.12. Табличное представление высокоуровневого описания группы УБПДн по техническим каналам
Вероятность реализации низкая/средняя/высокая
Подкласс угроз
Описание причины вывода
Источники угроз
ИТi
Опасность
________
Способ реализации
СТk
О1
О2
О3
ДВ
О4
Опасность
________
Д1
Д2
Д3
Актуальна/
неактуальна
Объекты воздействия
ОТm
38
В.3.2 Расчет вероятности реализации УБПДн
Под вероятностью реализации угрозы (Y2) понимается определяемый экспертным
путем показатель, характеризующий, насколько вероятным является реализация конкретной
угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Также во внимание должна приниматься мотивированность нарушителей при реализации
угроз безопасности.
Вводятся четыре вербальных градации этого показателя:
– Y2 = 0 – маловероятно – отсутствуют объективные предпосылки для осуществления
угрозы (например, угроза хищения носителей информации лицами, не имеющими
легального доступа в помещение, где последние хранятся);
– Y2 = 2 – низкая вероятность – объективные предпосылки для реализации угрозы
существуют, но принятые меры существенно затрудняют ее реализацию (в организации
внедрены средства защиты от данной угрозы и приняты организационные меры по
минимизации возможности ее реализации);
– Y2 = 5 – средняя вероятность – объективные предпосылки для реализации угрозы
существуют, но принятые меры обеспечения безопасности ПДн недостаточны (в
организации не внедрены средства защиты от данной угрозы или не приняты
организационные меры по минимизации возможности ее реализации);
– Y2 = 10 – высокая вероятность – объективные предпосылки для реализации угрозы
существуют и меры по обеспечению безопасности ПДн не приняты (в организации не
внедрены средства защиты от данной угрозы и не приняты организационные меры по
минимизации возможности ее реализации).
При расчёте вероятности реализации УБПДн в ИСПДн учитывается такой показатель,
как мотивация нарушителя. Показатель может принимать значения: высокий, средний,
низкий. Показатель определяется экспертным путём.
Значение данного параметра вносится в столбец № 2 первой строки Таблицы В.11 и
Таблицы В.12.
В.3.3 Оценка опасности (ущерба) для субъекта ПДн от реализации каждой
УБПДн
Опасность угроз безопасности ПДн напрямую определяется тем ущербом субъекту
ПДн, к которому приводит их реализация. Ущерб субъекту ПДн определяется в виде
показателя опасности, который принимает следующие значения:
– незначительные негативные последствия (низкий ущерб) – последствия для
субъекта незаметны либо малоощутимы. Отсутствует финансовый, репутационный,
моральный ущерб. Репутация субъекта, его материальное благополучие, жизнь и здоровье не
затронуты.
– негативные последствия (средний ущерб) – последствия приводят к малым по
объему или значению финансовым и/или моральным и/или репутационным потерям.
Основные интересы и права личности, закрепленные Конституцией РФ, не затронуты.
– значительные негативные последствия (большой ущерб) – последствия приводят к
ощутимым финансовым, моральным, репутационным потерям для субъекта, вплоть до
потери средств к существованию, здоровья, жизни.
Оценка ущерба должна проводится в тесном сотрудничестве с представителями
Заказчика, ввиду более глубокого знания ими специфики работы ИСПДн.
Значение данного параметра вносится в столбец № 3 первой строки Таблицы В.11 и
Таблицы В.12.
39
В.3.4 Определение актуальных угроз из полученного общего перечня
УБПДн, характерных для анализируемой ИСПДн
На данном этапе проводится экспертная оценка сформированных наборов угроз
безопасности ПДн с точки зрения частоты (вероятности) их реализации с определением для
каждой угрозы соответствующего числового коэффициента (Y2) и производится вычисление
коэффициентов реализуемости выявленных угроз (Y) в соответствии с формулой:
с последующей вербальной интерпретацией полученных коэффициентов для всех
выявленных угроз в диапазоне «низкая – средняя – высокая – очень высокая».
По итогам вычислений коэффициента реализуемости угрозы Y для каждой угрозы
формируется вербальная интерпретация реализуемости угрозы следующим образом:
– если 0 < Y < =0,3, то возможность реализации угрозы признается низкой;
– если 0,3 < Y <= 0,6, то возможность реализации угрозы признается средней;
– если 0,6 < Y < =0,8, то возможность реализации угрозы признается высокой;
– если Y > 0,8, то возможность реализации угрозы признается очень высокой.
Далее, из общего перечня угроз осуществляется выборка актуальных для ИСПДн угроз
в соответствии с правилами, приведёнными в [2], в соответствии с Таблицей В.13.
Таблица В.13. Таблица параметров определения актуальности УБПДн
Возможность
реализации
угрозы
(Y)
Низкая
Средняя
Высокая
Очень высокая
Показатель опасности угрозы
Низкая
Средняя
Высокая
Неактуальная
Неактуальная
Актуальная
Актуальная
Неактуальная
Актуальная
Актуальная
Актуальная
Актуальная
Актуальная
Актуальная
Актуальная
Значение данного параметра вносится в столбец №4 первой строки Таблицы В.11 и
Таблицы В.12.
40
Приложение Г. Перечень источников угроз безопасности. Описание
возможностей потенциальных нарушителей безопасности ПДн
Источниками УБПДн в ИСПДн могут быть:
– нарушители;
– носители вредоносной программы.
С учетом данных ниже пояснений и предположений формируются актуальные наборы
элементов описания УБПДн.
Г.1 Нарушители
Под нарушителем в ИСПДн понимается лицо (или инициируемый им процесс),
проводящее (проводящий) атаку на технические и/или программные средства ИСПДн.
Все множество нарушителей подразделяется на:
– внешних нарушителей, осуществляющих атаки из-за пределов КЗ ИСПДн;
– внутренних нарушителей, осуществляющих атаки, находясь в пределах КЗ ИСПДн.
К категории внешних нарушителей могут быть отнесены лица, не имеющие права
доступа в КЗ ИСПДн.
К категории внутренних нарушителей относятся нарушители, имеющие право
постоянного или разового доступа в КЗ к ИСПДн, включая пользователей ИСПДн.
Возможности внешних и внутренних нарушителей существенным образом зависят от
действующих в пределах КЗ режимных и организационно-технических мер защиты, в том
числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внешний нарушитель не имеет непосредственного доступа к системам и ресурсам,
находящимся в пределах КЗ ИСПДн. К нарушителю данного типа можно отнести
физических лиц или организации, осуществляющие атаки с целью добывания ПДн,
навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения
целостности ПДн1.
Внешний нарушитель (категория И1) имеет возможность:
– осуществлять несанкционированный доступ к каналам связи, выходящим за
пределы КЗ;
– осуществлять несанкционированный доступ к ПДн с использованием программных
воздействий посредством программных вирусов, вредоносных программ, алгоритмических
или программных закладок;
– осуществлять несанкционированный доступ через элементы информационной
структуры ИСПДн, которые в процессе своего жизненного цикла (модернизации,
сопровождения, ремонта, утилизации) оказываются за пределами КЗ;
– осуществлять несанкционированный доступ через информационные системы
взаимодействующих организаций при подключении к ИСПДн.
Внутренние потенциальные нарушители в ИСПДн по классификации ФСТЭК России
[1] подразделяются на семь категорий в зависимости от способа доступа и полномочий
доступа к ПДн.
При рассмотрении УБПДн за счет УИТК предполагается, что все нарушители являются внешними.
Классификация внешних нарушителей при анализе УБПДн за счет УИТК приведена в Таблице В.2 Приложения
В в соответствии с [1].
1
41
К первой категории (категория И2) относятся лица, имеющие санкционированный
доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся
должностные
лица,
обеспечивающие
нормальное
функционирование
ИСПДн
(обслуживающий персонал, охрана, работники инженерно-технических служб и т.д.).
Ко второй категории внутренних потенциальных нарушителей (категория И3)
относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный
доступ к ресурсам ИСПДн с рабочего места. Для лиц второй категории доступ,
аутентификация и права доступа к некоторому подмножеству ПДн регламентируются
соответствующими правилами разграничения доступа. К внутренним потенциальным
нарушителям (категория И3) второй категории в ИСПДн можно отнести зарегистрированных
(санкционированных) пользователей ИСПДн, которые занимаются обработкой ПДн в КЗ.
К третьей категории внутренних потенциальных нарушителей (категория И4)
относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к
ПДн по распределенной информационной системе. К внутренним потенциальным
нарушителям категории И4 в ИСПДн можно отнести зарегистрированных
(санкционированных) пользователей ИСПДн, которые осуществляют удаленный доступ к
ИСПДн по каналам связи, расположенным за пределами КЗ.
К четвертой категории внутренних потенциальных нарушителей (категория И5)
относятся зарегистрированные пользователи ИСПДн с полномочиями системного
администратора. Системный администратор выполняет конфигурирование и управление ПО
и оборудованием, включая оборудование, обеспечивающее безопасность защищаемого
объекта: средства криптографической защиты информации, мониторинга, регистрации,
архивации, защиты от НСД. Зарегистрированные пользователи ИСПДн с полномочиями
системного администратора ИСПДн являются доверенными лицами и в качестве
нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушители
категории И5 в ИСПДн отсутствуют.
К пятой категории внутренних потенциальных нарушителей (категория И6) относятся
зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности
ИСПДн. Администратор безопасности отвечает за соблюдение правил разграничения
доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности
осуществляет аудит тех же средств защиты объекта, что и системный администратор.
Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности
ИСПДн являются доверенными лицами и в качестве нарушителей не рассматриваются.
Поэтому внутренние потенциальные нарушители пятой категории в ИСПДн отсутствуют.
К шестой категории внутренних потенциальных нарушителей (категория И7) относятся
программисты-разработчики прикладного ПО и лица, обеспечивающие его сопровождение в
ИСПДн. К внутренним потенциальным нарушителям седьмой категории в ИСПДн можно
отнести
программистов–разработчиков,
не
являющихся
санкционированными
пользователями ИСПДн, но имеющих разовый доступ в контролируемую зону.
К седьмой категории внутренних потенциальных нарушителей (категория И8)
относятся Разработчики и лица, обеспечивающие поставку, сопровождение ТС в ИСПДн. К
внутренним потенциальным нарушителям восьмой категории в ИСПДн можно отнести
сотрудников и обслуживающий персонал, не являющихся санкционированными
пользователями ИСПДн, но имеющих разовый доступ в контролируемую зону, а также
сотрудников сторонних организаций, осуществляющих сопровождение технических средств
ИСПДн.
Всех пользователей ИСПДн
непривилегированных пользователей.
можно
разделить
на
привилегированных
Привилегированными пользователями ИСПДн являются лица следующих категорий:
и
42
– И5 (пятой категории) – зарегистрированные пользователи ИСПДн с полномочиями
системного администратора;
– И6 (шестой категории) – зарегистрированные пользователи ИСПДн с полномочиями
администратора безопасности ИСПДн.
Поскольку относящиеся к перечисленным категориям привилегированные
пользователи ИСПДн назначаются из числа особо проверенных и доверенных лиц, то лица,
относящиеся к категориям И5, И6 исключаются из числа потенциальных нарушителей.
Все лица оставшихся категорий относятся к потенциальным нарушителям ИСПДн.
Таким образом, в качестве источников угроз НСД в ИСПДн целесообразно принять
следующие категории нарушителей:
– внешние нарушители категории И1;
– внутренние нарушители категорий И2, И3, И4, И7, И8.
С учетом специфики функционирования ИСПДн и характера обрабатываемых в ней
ПДн, предполагается, что для группы нарушителей, а тем более для группы нарушителей,
действующей в интересах специальных служб иностранных государств, проведение атак
является средством менее предпочтительным, чем средства, основанные на агентурных
методах или методах социальной инженерии.
Поэтому предполагается, что потенциальные нарушители являются одиночными
нарушителями, самостоятельно осуществляющими освоение способов, подготовку и
проведение атак и не могут организовывать или заказывать работы по созданию способов и
средств атак в научно-исследовательских центрах, в том числе специализирующихся в
области разработки и анализа СКЗИ и СФК.
Следует отметить, что за время эксплуатации ИСПДн не были зафиксированы факты
нарушения безопасности обрабатываемой в этой системе информации.
Предполагается, что потенциальный нарушитель ИСПДн не располагает:
– полными сведениями о сетях связи, работающих на едином ключе;
– исходными текстами прикладного программного обеспечения;
– всей документацией на СКЗИ и СФК.
Также предполагается, что потенциальный нарушитель располагает только доступными
в свободной продаже аппаратными и программными компонентами СКЗИ и СФК и за счет
реализованных в ИСПДн организационно-режимных мер не имеет дополнительных
возможностей по их получению, а также не имеет возможности проводить лабораторные
исследования СКЗИ.
С учетом указанных предположений, нарушители безопасности ПДн, обрабатываемых
в ИСПДн, могут использовать штатные средства в случае их расположения в
контролируемой зоне, а также располагать только доступными в свободной продаже
аппаратными и программными компонентами СКЗИ и СФК.
Основными каналами атак для вышеперечисленных категорий нарушителей будут
являться:
– каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от НСД
к информации организационно-техническими мерами;
– штатные средства.
Возможными каналами атак могут быть:
– каналы непосредственного доступа к объекту атаки (акустический, визуальный,
физический);
43
– машинные носители информации;
– носители информации, выведенные из употребления;
– технические каналы утечки;
– сигнальные цепи;
– цепи электропитания;
– цепи заземления;
– канал утечки за счет электронных устройств негласного получения информации;
– информационные и управляющие интерфейсы СВТ.
В соответствии с [3], выявленные потенциальные нарушители безопасности ПДн,
обрабатываемых в ИСПДн, делятся на следующие типы:
– внешний нарушитель (лица категории И1) – тип Н1;
– внутренний нарушитель (лица категории И7, И8) – тип Н2;
– внутренний нарушитель (лица категорий И2, И3, И4) – тип Н3.
При этом, класс криптосредств определяется по наивысшему классу нарушителя. Как
следует из [3], при отнесении группы нарушителей к типу Н1 криптосредство должно
обеспечить криптографическую защиту на уровне КС1, к типу Н2 – не ниже уровня КС2, к
типу Н3 – не ниже уровня КС3.
Г.2 Носители вредоносной программы
Носителем вредоносной программы может быть аппаратный элемент компьютера или
программный контейнер. Если вредоносная программа ассоциируется с какой-либо
прикладной программой, то в качестве ее носителя рассматриваются:
– отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флешпамять, отчуждаемый винчестер и т.п.;
– встроенные носители информации (винчестеры, микросхемы оперативной памяти,
процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в
системный блок – видеоадаптера, сетевой платы, звуковой платы, модема, устройств
ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы
прямого доступа к памяти шин передачи данных, портов ввода-вывода);
– микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера
и т.п.).
Если вредоносная программа ассоциируется с файлами, имеющими определенные
расширения или иные атрибуты, и с сообщениями, передаваемыми по сети, то ее носителями
являются:
– пакеты передаваемых по компьютерной сети сообщений;
– файлы (текстовые, графические, исполняемые и т.д.).