Справочно-информационная система по защите персональных данных

Формирование модели угроз

Работы по формированию модели угроз безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств авто­матизации проводятся в соответствии с основными документа­ми:

  • Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  •  «Требования к защите персональных данных при их обработке в информационных системах персональных данных»  - Постановление Правительства РФ от 1 ноября 2012 г, № 1119.
  • Порядок проведения классификации информационных систем персональных данных, утвержденный прика­зом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегист­рирован Минюстом России 3 апреля 2008 года, реги­страционный № 11462) (далее - Порядок);
  • Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем ди­ректора ФСТЭК России 15 февраля 2008г.);
  • Методика определения актуальных угроз безопасно­сти персональных данных при их обработке в инфор­мационных системах персональных данных (Утвер­ждена Заместителем директора ФСТЭК России 14 февраля 2008 г.).
  • Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21) (Вместо приказа № 58 от 02,02,2010 ФСТЭК России)

 

Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создаю¬щих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанк-ционированных действий при их обработке в информационной системе персональных данных (Методика определения актуаль¬ных угроз безопасности персональных данных при их обработке в информационных системах персональных данных).

Технические и программные сред¬ства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обес¬печивающим защиту информации.

Для обеспечения безопасности ПДн при их обработке в информационных системах осуществляется защита речевой ин­формации и информации, обрабатываемой техническими сред­ствами, а также информации, представленной в виде информа­тивных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанк-ционированных действий.

 

Мероприятия, предусмотренные Положением (п. 12) по обеспечению безопасности ПДн при их обработке в информаци­онных системах включают в себя:

  1. выявление угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
  2. разработку на основе модели угроз системы защиты персо­нальных данных, обеспечивающей нейтрализацию предпо­лагаемых угроз с использованием методов и способов защи­ты персональных данных, предусмотренных для соответст­вующего класса информационных систем;
  3. проверку готовности средств защиты информации к исполь­зованию с составлением заключений о возможности их экс­плуатации;
  4. установку и ввод в эксплуатацию средств защиты информа­ции в соответствии с эксплуатационной и технической до­кументацией;
  5. обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам рабо­ты с ними;
  6. учет применяемых средств защиты информации, эксплуата­ционной и технической документации к ним, носителей пер­сональных данных;
  7. учет лиц, допущенных к работе с персональными данными в информационной системе;
  8. контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
  9. разбирательство и составление заключений по фактам несо­блюдения условий хранения носителей персональных дан­ных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персо­нальных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
  10. описание системы защиты персональных данных.

 

необходимым элемен¬том разработки системы защиты персональных данных является формирование модели угроз безопасности персональных дан¬ных (далее - модель угроз). Далее, в Порядке (п. 16) отмечено, что модель угроз необходима для определения класса специаль¬ной информационной системы.

Модель угроз формируется и утверждается оператором в соответствии с методическими документами:

■             Методический документ ФСТЭК России. Базовая мо¬дель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

■             Методический документ ФСТЭК России. Методика определения актуальных угроз безопасности персо¬нальных данных при их обработке в информационных системах персональных данных.

■             Методический документ ФСБ России. Методические рекомендации по обеспечению с помощью криптос¬редств безопасности персональных данных при их об¬работке в информационных системах персональных данных с использованием средств автоматизации.

 

1.  Схема формирования модели угроз

При формировании модели угроз необходимо учитывать что:

■             Безопасность персональных данных при их обработке в информационных системах обеспечивается с помо¬щью системы защиты персональных данных, пони¬маемая как комплекс организационно-технических мероприятий.

■             При формировании модели угроз необходимо учиты¬вать как угрозы, осуществление которых нарушает безопасность персональных данных (далее - прямая угроза), так и угрозы, создающие условия для появле¬ния прямых угроз, иначе - косвенных угроз.

■             Персональные данные обрабатываются и хранятся в информационной системе с использованием опреде¬ленных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвен¬ные угрозы защищаемой информации.

■             Никакая система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой ин¬формации).

При формировании модели угроз необходимо последова¬тельно осуществить следующие шаги:

1.            проанализировав источники угроз безопасности и уязвимости элементов ИСПДн, сформировать пере¬чень угроз безопасности персональных данных;

2.            описать ИСПДн, указав структуру технических средств и программного обеспечения;

3.            определить категории пользователей ИСПДн;

4.            определить тип ИСПДн;

5.            определить исходный уровень защищенности ИСПДн;

6.            определить вероятность реализации угроз в ИСПДн ;

7.            определить возможность реализации угроз в ИСПДн

8.            оценить опасность угроз;                                             

9.            определить перечень актуальных угроз в ИСПДн.

После прохождения всех шагов будет сформирована част¬ная модель угроз. Частная модель угроз составляется для каж¬дой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.

 

2. Характеристики безопасности ПДн

Характеристиками безопасности ПДн в контексте норма-тивных документов являются требования обеспечения конфи-денциальности, защиты от уничтожения, изменения, блокирова¬ния и другие требования безопасности в отношении ПДн.

Оператор ПДн должен задать требования обеспечения безопасности в отношении обрабатываемых им ПДн.

По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной сис¬теме, информационные системы подразделяются на типовые и специальные информационные системы:

■             Типовые информационные системы - информацион¬ные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

■             Специальные информационные системы - информа-ционные системы, в которых вне зависимости от не-обходимости обеспечения конфиденциальности пер-сональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

 

К специальным информационным системам должны быть отнесены:

■             информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоро¬вья субъектов ПДн;

■             информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

 

3. Перечень угроз

Перечень угроз, уязвимостей и технических каналов утеч¬ки информации формируется в соответствии с требованиями руководящих документов ФСТЭК России, при необходимости может быть использован ГОСТ Р 51275-2006.

Определение угроз безопасности персональных данных осуществляется на основе утвержденной ФСТЭК России "Базо¬вой модели угроз безопасности персональных данных". Полный перечень факторов, действующих на безопасность информации, в целях обоснования угроз безопасности информации и требо¬ваний по ее защите, определен ГОСТ Р 51275-2006.

Состав и содержание угроз безопасности персональных данных (УБПДн) определяется совокупностью условий и фак¬торов, создающих опасность несанкционированного, в том чис¬ле случайного, доступа к ПДн обрабатываемым в ИСПДн.

Как правило, ИСПДн учреждения представляет собой со-вокупность информационных и программно-аппаратных эле¬ментов и их особенностей как объектов обеспечения безопасно¬сти. Составляющими ИСПДн являются:

■             персональные данные, обрабатываемые в ИСПДн;

■             информационные технологии, как совокупность прие¬мов, способов и методов применения средств вычис¬лительной техники при обработке ПДн;

■             технические средства ИСПДн, осуществляющие обра¬ботку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;

■             программные средства (операционные системы, сис¬темы управления базами данных и т. п.);

■             средства защиты информации (СЗИ), включая СКЗИ;

■             вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но разме¬щенные в помещениях, в которых расположены ИСПДн, такие как средства вычислительной техники, средства и системы охранной и пожарной сигнализа¬ции, средства и системы кондиционирования, средства электронной оргтехники и т. п.) (далее - ВТСС);

■             документация на СКЗИ (если имеются), технические и программные компоненты ИСПДн;

При составлении перечня следует учитывать, что о нали¬чии угрозы свидетельствует наличие источников угрозы и уяз¬вимых звеньев, что может быть использовано для реализации угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уяз¬вимых звеньев ИСПДн, а также по данным обследования ИСПДн - перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопас¬ности информации и составляется их полный перечень. На ос¬новании дальнейшего анализа этого перечня формируется пере¬чень актуальных угроз безопасности ПДн.

 

Типовые модели угроз

В зависимости от целей и содержания обработки ПДн оператор может осуществлять обработку ПДн в ИСПДн различ¬ных типов.

 

В документе "Базовая модель угроз безопасности персо-нальных данных" приведены типовые модели угроз безопасно¬сти ПДн в зависимости от типа ИСПДн (не нужно путать с по¬нятиями типовая и специальная ИСПДн из приказа ФСТЭК, ФСБ и Мининформсвязи России «Порядок проведения класси¬фикации информационных систем персональных данных»).

Выбор типовой модели угроз осуществляется в зависимо¬сти от того, имеют ли ИСПДн подключение к сетям общего пользования и (или) сетям международного информационного обмена, а также от их структуры (автономные автоматизирован¬ные рабочие места, локальные сети, распределенные ИСПДн с удаленным доступом).

В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкциони¬рованного или случайного доступа в "Базовой модели угроз безопасности персональных данных" выделены типовые модели угроз безопасности ИСПДн:

■             автоматизированные рабочие места, не имеющие под-ключение к сетям связи общего пользования и (или) сетям международного информационного обмена;

■             автоматизированные рабочие места, имеющие под-ключение к сетям связи общего пользования и (или) сетям международного информационного обмена;

■             локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международ¬ного информационного обмена;

■             локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международ¬ного информационного обмена;

■             распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям между¬народного информационного обмена;

 

■             распределенные ИСПДн, имеющие подключение к се¬тям связи общего пользования и (или) сетям междуна¬родного информационного обмена.

 

Частные модели угроз

Типовые модели угроз учитывают, в основном, удовле¬творение таким характеристикам безопасности как конфиденци¬альность. В этом смысле следует считать, что типовые модели безопасности соответствуют понятию «типовая ИСПДн». По¬этому при составлении модели угроз специальной ИСПДн пере¬чень угроз безопасности должен быть уточнен (характеристики безопасности - целостность, доступность, защита от уничтоже¬ния, блокирования и т. п.).

Если модель угроз ИСПДн не может быть отнесена к ти¬повой, то модель угроз специальной информационной системы разрабатывается с учетом полного списка факторов угроз безо-пасности ГОСТ Р 51275-2006.

Как в случае типовых моделей угроз, наименьшее количе¬ство угроз имеют автоматизированные рабочие места и локаль¬ные ИСПДн, не подключенные к сетям общего пользования.

Для каждой угрозы, приведенной в типовой модели и включенной в список угроз при формировании частной модели угроз, следует оценить возможную степень ее реализации. Если она окажется высокой, то это может потребовать применения соответствующих дополнительных технических средств защиты информации.

Возможность реализации угрозы зависит от уровня ис¬ходной защищенности ИСПДн и вероятности реализации угрозы.

 

4. Выявление источников угроз

Источниками угроз, реализуемых за счет несанкциониро-ванного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, яв¬ляются субъекты, действия которых нарушают регламентируе¬мые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:

■             нарушители;

■             носители вредоносной программы;

■             аппаратные или программные закладки.

Нарушитель - физическое лицо, случайно или преднаме¬ренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке в информаци¬онных системах. С точки зрения наличия права легального дос¬тупа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители под¬разделяются на два типа:

■             нарушители, не имеющие доступа к ИСПДн, реали-зующие угрозы из подсетей локальной сети, внешних сетей связи общего пользования и (или) сетей между-народного информационного обмена, - внешние на-рушители;

■             нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непо-средственно в ИСПДн, - внутренние нарушители.

Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут яв¬ляться лица, имеющие возможность осуществлять несанкциони¬рованный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминаль¬ные устройства ИСПДн, подключенные к сетям общего пользо¬вания.

 

Возможности внутреннего нарушителя существенным об¬разом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн, правил выполнения работ и мер по контролю порядка проведения работ.

Угрозы несанкционированного доступа внешних наруши¬телей к ресурсам ИСПДн реализуются с использованием сете¬вых протоколов локально вычислительной сети (ЛВС) и прото¬колов межсетевого взаимодействия. Возможности нарушителей существенно зависят от установленных правил эксплуатации, корректной настройки программно-аппаратного обеспечения ЛВС.

Имеет смысл классифицировать персонал организации по ролевым признакам в отношении к ИСПДн. Типовой состав пользователей ИСПДн может быть представлен в виде таблицы (матрицы доступа).

Матрица доступа в табличной форме отражает права всех групп пользователей ИСПДн на действия с персональными дан¬ными. Пользователи ИСПДн выполняют следующие действия (операции): сбор, систематизацию, накопление, хранение, уточ¬нение (обновление, изменение), использование, распростране¬ние (в том числе передачу), обезличивание, блокирование, и уничтожение персональных данных.

Как правило, существуют три основные группы пользова¬телей ИСПДн:

■             Администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечи¬вающие ее бесперебойную работу;

■             Разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды организации;

■             Операторы ИСПДн, осуществляющие текущую работу с персональными данными.

 

Типовая роль

Уровень доступа к ПДн

Разрешенные

действия

Администратор

ИСПДн

Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн.

Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.

Обладает правами конфигурирования и административной настройки технических средств ИСПДн.

сбор

систематизация

накопление

хранение

уточнение

использование

распространение

обезличивание

блокирование

уничтожение

Разработчик

ИСПДн

Обладает информацией об алгоритмах и программах обработки информации на ИСПДн.

Обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения.

Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн

систематизация

накопление

хранение

уточнение

обезличивание

блокирование

уничтожение

Оператор

ИСПДн

Обладает правами доступа к подмножеству ПДн.

Располагает информацией о топологии ИСПДн на базе локальной и(или)распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн.

сбор

систематизация

накопление

хранение

уточнение

использование

распространение

обезличивание

 

Состав групп может быть уточнен, например, может быть несколько групп операторов ИСПДн. Одна осуществляет лишь сбор и систематизацию персональных данных, другая - уточне¬ние, использование и распространение, третья - резервное ко¬пирование и т. д. В матрице доступа должно быть описание всех групп, обладающих правами на определенные действия с ПДн. Должен быть уточнен список разрешенных действий каждой из групп.

Должен быть предусмотрен порядок предоставления и прекращения доступа тем или иным пользователям, при наступ¬лении, каких событий (прием и увольнение с работы, инициати¬ва или требование руководителя, службы безопасности и т. п.) и на основании каких документов (политик и инструкций) проис¬ходит предоставление и прекращение доступа.

Сотрудники выявленных групп пользователей, должны быть рассмотрены в качестве потенциальных внутренних нару¬шителей - источников угроз безопасности.

 

5. Выявление уязвимостей ИСПДн

Организационно-территориальная структура предприятия.

Заполняется информация об организационно¬территориальной структуре организации, входящей в защищае¬мую зону автоматизации, к которой предъявляются требования по защите персональных данных.

Оборудование и системное программное обеспечение

Заполняются сведения об оборудовании и системном про-граммном обеспечении, которое будет применяться (применяет¬ся) для решения задач обработки ПДн, к которым предъявляют¬ся требования по защите.

Информация заполняется в виде таблицы:

Роль

Название

Характеристики

оборудования

ОС

Прикладное

ПО

Роль выполня­емая машиной (например, сервер 1C сервер баз данных, рабочая станция и т. д.)

Название

компьютера

Процессор (CPU); Память (RAM); Дисковая подсистема; HDD; Сетевые адаптеры (Lan); Порты

Версия операци­онной системы, включая релизы и сборки.

Перечень

прикладного

программного

обеспечения

(включая

информацию

о релизах и

сборках)

 

Здесь же должна быть приведена схема технической архи-тектуры (топология ЛВС), параметры каналов связи.

Если информационная база ИСПДн является распреде¬ленной привести:

■             схему (топология);

■             количество узлов (баз данных) в распределенной ин-формационной базе ИСПДн;

■             связь между узлами (показывается на схеме);

■             расписание сеансов обмена;

■             объектный (функциональный) состав обмена;

■             примерный объем передаваемых данных, если воз¬можно определить.

На основании указанных сведений производится опреде¬ление возможных уязвимостей элементов ИСПДн

 

6. Пример перечня угроз

Список УБПДн модельной ИСПДн на основе платформы «1С Предприятие».

Как правило, для таковых систем можно выделить сле¬дующие угрозы:

1Угрозы утечки информации

1.1Угрозы утечки по техническим каналам.

1.2Угрозы утечки акустической информации

1.3Угрозы утечки видовой информации.

1.4Угрозы утечки информации по каналам ПЭМИН

2Угрозы несанкционированного доступа к информации.

2.1Угрозы уничтожения, хищения аппаратных средств ИСПДн , носителей информации путем физического доступа к элементам ИСПДн:

2.1.1Кража ПЭВМ

2.1.2Кража носителей информации

2.1.3Кража ключей и атрибутов доступа

2.1.4Кража, модификация, уничтожение информации

2.1.5Вывод из строя узлов ПЭВМ, каналов связи

2.1.6Несанкционированное отключение средств защиты

2.2Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий):

2.2.1Действия вредоносных программ (вирусов)

2.2.2Недекларированные возможности системного программного обеспечения и ПО для обработки ПДн

2.2.3Установка ПО, не связанного с исполнением служебных обязанностей

2.3Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а также от угроз неантропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т.п.) характера:

2.3.1Утрата ключей и атрибутов доступа

2.3.2Непреднамеренная модификация (уничтожение) информации сотрудниками

2.3.3Непреднамеренное отключение средств защиты

2.3.4Выход из строя аппаратно-программных средств

2.3.5Сбой системы электроснабжения

2.3.6Стихийное бедствие

2.4Угрозы преднамеренных действий внутренних нарушителей

2.4.1Доступ к информации лиц не допущенных к ее обработке

2.4.2Разглашение информации, модификация, уничтожение сотрудниками допущенными к ее обработке

2.5Угрозы несанкционированного доступа по каналам связи:

2.5.1Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

2.5.1.1Перехват за пределами контролируемой зоны

2.5.1.2Перехват в пределах контролируемой зоны

2.5.1.3Перехват в пределах контролируемой зоны внутренними нарушителями

2.5.2Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

2.5.3Угрозы выявления паролей по сети

2.5.4Угрозы навязывания ложного маршрута в сети

2.5.5Угрозы подмены доверенного объекта в сети

2.5.6Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях

2.5.7Угрозы перегрузки ТС ИСПДн типа DOS-атак (отказ в обслуживании).

2.5.8Угрозы удаленного запуска приложений.

2.5.9Угрозы внедрения по сети вредоносных программ.

Определение УБПДн производится на основании анализа источников угроз безопасности и уязвимостей ИСПДн. Список УБПДн составляется в зависимости от структуры и других ха¬рактеристик ИСПДн. Так, если ИСПДн не имеет подключения к сетям общего пользования и (или) международного обмена, то угрозы несанкционированного доступа по каналам связи, можно убрать из общего списка угроз.


ВВЕРХ