Приложение N 14. Часная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
1.1 Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации района (далее — модель угроз) разработана в соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», «Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 15.02.2008, «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 14.02.2008, и определяет перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации Великоустюгского муниципального района.
1.2. Модель угроз подготовлена в рамках выполнения работ по построению системы защиты персональных данных при их обработке в информационных системах персональных данных администрации района.
1.3. Под угрозами безопасности персональных данных (далее — ПДн) при их обработке в информационных системах персональных данных (далее — ИСПДн) понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационных системах персональных данных.
1.4. В настоящей модели угроз используются термины и определения, установленные в Федеральном законе Российской Федерации от 27.07.2006 N 152-ФЗ «О персональных данных».
1.5. Настоящая модель угроз предназначена для:
а) анализа защищённости ИСПДн от угроз безопасности ПДн в ходе организации и выполнения работ по обеспечению безопасности ПДн;
б) определения вероятного нарушителя информационной безопасности;
в) определения характеристик угроз безопасности защищаемых ПДн, обрабатываемых в ИСПДн;
г) разработки системы защиты ПДн, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты ПДн, предусмотренных для соответствующего класса ИСПДн;
д) проведения мероприятий, направленных на предотвращение несанкционированного доступа к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
е) контроля обеспечения уровня защищённости персональных данных.
1.6. В модели угроз представлено описание ИСПДн, классификации потенциальных нарушителей, оценки исходного уровня защищённости, анализа угроз безопасности персональных данных.
1.7. Оператором ИСПДн является администрация района, которая, с соблюдением принципов законности и конфиденциальности, самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, принимает меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1.8. Модель угроз может быть пересмотрена:
а) по решению оператора на основе периодически проводимых им анализа и оценки угроз безопасности персональных данных с учётом особенностей и (или) изменений конкретной информационной системы;
б) в связи с выявлением новых источников угроз, развитием способов и средств реализации угроз безопасности персональных данных в ИСПДн.
2. Назначение, основные характеристики и тип информационных систем персональных данных администрации района
2.1. ИСПДн администрации района созданы в соответствии с Трудовым кодексом Российской Федерации, Семейным кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Кодексом Российской Федерации об административных нарушениях, Градостроительным кодексом Российской Федерации, Жилищным кодексом Российской Федерации, федеральными законами от 27.07.2006 N 152-ФЗ «О персональных данных», от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 02.03.2007 N 25-ФЗ «О муниципальной службе в Российской Федерации», от 06.10 2003 N 131-ФЗ «Об общих принципах организации местного самоуправления в Российской Федерации», от 21.11.1996 N 129-ФЗ «О бухгалтерском учёте» и иными правовыми документами.
2.2. В администрации района обрабатываются персональные данные лиц, замещающих должности муниципальной службы в администрации района (далее — муниципальный служащий), лиц, замещающих иные должности, не отнесённые к муниципальным должностям и должностям муниципальной службы, обеспечивающих организацию деятельности администрации района (далее — работники, обеспечивающие организацию деятельности администрации района), лиц, замещающих должности, не отнесённые к муниципальным должностям и должностям муниципальной службы, обслуживающих администрацию района (далее — работники, обслуживающие администрацию района), лиц, претендующих на замещение муниципальных должностей в администрации района, а также иных физических лиц, персональные данные которых представлены в администрацию района и Главе района.
2.3. Обработка персональных данных в администрации района осуществляется в целях реализации возложенных на администрацию района полномочий, определяемых федеральными законами, Уставом района, законами Вологодской области и иными нормативными правовыми актами.
2.4. В администрации района функционируют три информационных системы:
1) ИСПДн «Обращения граждан» создана с целью обработки информации по обращениям граждан, своевременного и в полном объёме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции администрации района, деятельность по эксплуатации ИСПДн осуществляет управление делами администрации района;
2) ИСПДн «Учёт административных нарушений» создана с целью организации работы административной комиссии в соответствии с наделением администрации района отдельными государственными полномочиями по созданию административных комиссий, деятельность по эксплуатации ИСПДн осуществляет главный специалист административной комиссии администрации района;
3) ИСПДн «Учёт несовершеннолетних правонарушителей» создана с целью организации работы комиссии по делам несовершеннолетних и защиты их прав по рассмотрению дел об административных нарушениях, совершенных несовершеннолетними, деятельность по эксплуатации ИСПДн осуществляет главный специалист комиссии по делам несовершеннолетних и защите их прав администрации района.
2.5. В ИСПДн администрации района обрабатываются следующие категории и объём персональных данных:
2.5.1. В ИСПДн «Обращения граждан» — фамилия, имя, отчество, домашний адрес, иные персональные данные, содержащиеся в обращениях граждан. В ИСПДн хранятся данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
2.5.2. В ИСПДн «Учёт административных нарушений» — фамилия, имя, отчество, дата рождения и место рождения, место регистрации и место жительства, место работы, должность. В ИСПДн хранятся данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
2.5.3. В ИСПДн «Учёт несовершеннолетних нарушителей» — фамилию, имя, отчество, дату и место рождения, место жительства и место регистрации, место учёбы, место работы. В ИСПДн хранятся данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.
2.6. В ИСПДн администрации района не обрабатываются:
а) персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъектов персональных данных;
б) сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных;
в) общедоступные персональные данные.
2.7. Структура и конфигурация ИСПДн администрации района характеризуются следующим образом:
1) ИСПДн «Кадры» представляет собой однопользовательскую АС с ИСПДн — автономная, не подключена к другим АС. Границей контролируемой зоны ИСПДн является периметр служебного кабинета, находящихся в здании администрации района;
2) ИСПДн «Обращения граждан» представляет собой однопользовательскую АС с ИСПДн — автономная, не подключена к другим АС. Границей контролируемой зоны ИСПДн является периметр служебного кабинета, находящихся в здании администрации района;
3) ИСПДн «Учёт административных нарушений» представляет собой однопользовательскую АС с ИСПДн — автономная, не подключена к другим АС. Границей контролируемой зоны ИСПДн является периметр служебного кабинета, находящихся в здании администрации района;
4) ИСПДн «Учёт несовершеннолетних нарушителей» представляет собой многопользовательскую АС В ИСПДн имеется 2 автоматизированных рабочих места объединённых в локальную вычислительную сеть. ИСПДн — автономная, не подключена к другим АС. Границей контролируемой зоны ИСПДн является периметр служебного кабинета, находящегося в здании администрации района.
2.8. В отношении всех пользователей ИСПДн доступ к информационным ресурсам осуществляется с обязательной аутентификацией, выделением определённых информационных ресурсов и установлением необходимых прав доступа к ним.
2.9. Угрозы безопасности персональных данных зависят от типа ИСПДн. ИСПДн администрации района имеют следующие характеристики:
а) по структуре ИСПДн — являются локальными информационными системами;
по наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена ИСПДн — относятся к системам, не имеющим таких подключений;
б) по режиму обработки персональных данных в ИСПДн — являются многопользовательскими и однопользовательскими;
в) по разграничению прав доступа пользователей ИСПДн — являются системами с разграничением прав доступа;
г) в зависимости от местонахождения технических средств ИСПДн — являются системами, все технические средства которых находятся в пределах Российской Федерации.
Функционирующие в администрации района ИСПДн «Обращения граждан», «Учёт административных нарушений» и «Учёт несовершеннолетних нарушителей», относятся к локальным информационным системам, не имеющим подключения к сетям связи общего пользования и (или) сетям международного информационного обмена (далее — ЛИС I типа).
2.10. Характеристиками безопасности ИСПДн администрации района являются конфиденциальность, целостность и доступность.
Конфиденциальность информации — обязательное для выполнения оператором или лицом, получившим доступ к персональным данным, требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Целостность информации — способность средств вычислительной техники или информационной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Доступность информации — способность автоматизированной информационной системы обеспечивать беспрепятственный доступ к информации лицам, имеющим права доступа.
3. Модель вероятного нарушителя информационной безопасности информационных систем персональных данных администрации района
3.1. По признаку принадлежности к ИСПДн нарушители делятся на две группы:
а) внешние нарушители — лица, не имеющие права пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн;
б) внутренние нарушители — лица, имеющие право пребывания на территории контролируемой зоны, в пределах которой размещается оборудование ИСПДн.
3.2. В качестве внешнего нарушителя информационной безопасности рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны.
Внешний нарушитель может реализовать угрозы из внешних сетей связи общего пользования и сетей международного информационного обмена и является источником угроз для ЛИС II типа.
В соответствии с постановлением Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», внешний нарушитель может реализовать угрозы 1-го и 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в системном и в прикладном программном обеспечении, используемом в информационной системе.
3.3. Возможности внутреннего нарушителя зависят от действующих в пределах контролируемой зоны ограничительных факторов комплекса организационно-технических мер:
а) по применению программных средств;
б) подбору, расстановке и профессиональной подготовке кадров;
в) допуску лиц в контролируемую зону и контролю за проведением работ, направленных на предотвращение и пресечение несанкционированных действий.
3.3.1. Исходя из особенностей функционирования ИСПДн, допущенные к ней лица, имеют разные полномочия на доступ к информационным, программным, аппаратным и другим ресурсам ИСПДн. К внутренним нарушителям могут относиться:
а) пользователи ИСПДн (категория К1);
б) администраторы ИСПДн (категория К2);
в) разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение (категория К3);
г) лица, обеспечивающие поставку, сопровождение и ремонт технических средств (категория К4);
3.3.2. На лиц категории К1 возложены задачи по использованию программно-аппаратных средств и баз данных ИСПДн. К категории К1 относятся все сотрудники структурных подразделений, обладающие правами доступа к ИСПДн. Лица категории К1 не имеют права вносить изменения в настройки какого-либо оборудования, но способны вводить и удалять записи из баз данных в рамках рассматриваемых ИСПДн. Лица этой категории знают атрибуты доступа к ПДн в ИСПДн и располагают ПДн, к которым имеют доступ.
Лица категории К1 потенциально могут реализовывать угрозы информационной безопасности, используя возможности по непосредственному доступу к защищаемой информации в соответствии с установленными для них полномочиями.
3.3.3. На лиц категории К2 возложены задачи по администрированию программно-аппаратных средств и баз данных ИСПДн. Администратор ИСПДн обеспечивает техническое обслуживание и настройку автоматизированных рабочих мест сотрудников, осуществляет контроль за антивирусной защитой, отвечает за реализацию технических мер, необходимых для проведения в жизнь политики информационной безопасности, осуществляет разграничение прав доступа в защищённую инфраструктуру. Лица этой категории обладают всеми возможностями лиц предыдущей категории и полной информацией о системном и прикладном программном обеспечении ИСПДн, а также о технических средствах и конфигурации ИСПДн. Они имеют доступ ко всем техническим средствам обработки информации и данным ИСПДн и обладают правами администрирования аппаратных и программных средств ИСПДн.
Лица категории К2 потенциально могут реализовывать угрозы информационной безопасности, используя возможности по непосредственному доступу к защищаемой информации, обрабатываемой и хранимой в ИСПДн, а также к техническим и программным средствам ИСПДн, включая средства защиты, используемые в конкретных АС, в соответствии с установленными для них административными полномочиями. К лицам категорий К2, ввиду их исключительной роли в ИСПДн, должен применяться комплекс особых организационных мер по их подбору, принятию на работу, назначению на должность и контролю выполнения ими функциональных обязанностей.
3.3.4. К категории К3 относятся разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте. Лица этой категории располагают информацией об алгоритмах и программах обработки информации на ИСПДн и обладают возможностями допуска непреднамеренных ошибок, внесения недекларированных возможностей, программных закладок, вредоносных программ в ИСПДн на стадии её разработки, внедрения и сопровождения, а также располагают информацией о структуре, программном обеспечении, технических средствах и средствах защиты ИСПДн.
Лица категории К3 потенциально могут реализовывать угрозы информационной безопасности, используя возможность внесения недекларированных возможностей в разрабатываемое и устанавливаемое программное обеспечение.
3.3.5. К категории К4 относятся лица, обеспечивающие поставку, сопровождение и ремонт технических средств ИСПДн.
Лица этой категории обладают возможностями внесения аппаратных и программных закладок в технические средства для получения несанкционированного доступа в ИСПДн на стадии их разработки, внедрения и сопровождения.
Лица категории К4 не рассматриваются в качестве злоумышленников вследствие несопоставимо малой вероятности возникновения угроз с их стороны по сравнению со стоимостью средств защиты информации, применяемых для пресечения такого рода угроз. При заключении договоров и контрактов со сторонними организациями на проведение работ и оказание услуг включаются требования по информационной безопасности, а также происходит изъятие жёсткого магнитного диска при сдаче средств вычислительной техники на утилизацию.
3.4. Исходя из изложенного, для ЛИС I типа могут рассматриваться в качестве категорий предполагаемых нарушителей К1, К2 и К3 (пользователи, администраторы и разработчики прикладного программного обеспечения).
3.5. Для создания устойчивой системы защиты ПДн предполагается, что нарушители для реализации угроз безопасности персональных данных могут использовать следующие средства реализации угроз:
а) доступные в свободной продаже аппаратные средства и программное обеспечение;
б) самостоятельно разработанные программные и аппаратные средства;
в) средства перехвата информации в каналах связи, проходящих вне контролируемой зоны объекта.
Вместе с тем, предполагается, что вероятный нарушитель не имеет средств:
1) перехвата в технических каналах утечки информации;
2) воздействия через сигнальные цепи (информационные и управляющие интерфейсы средств вычислительной техники);
3) воздействия на источники и через цепи питания;
4) воздействия через цепи заземления;
5) активного воздействия на технические средства (средств облучения).
4. Определение угрозы безопасности персональных данных, актуальных при обработке персональных данных в ИСПДн
4.1. Определение исходного уровня защищённости ИСПДн.
4.1.1. Под общим уровнем защищённости понимается обобщённый показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (Y.1 ).
Исходная степень защищённости определяется в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 14.02.2008, следующим образом:
а) (Y.1 =0). ИСПДн имеет высокий уровень исходной защищённости, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий»;
б) (Y.1 =5). ИСПДн имеет средний уровень исходной защищённости, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний»:
в) (Y.1 =10). ИСПДн имеет «низкую» степень исходной защищённости, если не выполняется условия по пунктам «а» и «б».
4.1.2. В таблице N 1 представлено обобщённое определение уровня исходной защищённости для каждого из типов ИСПДн.
Технические и эксплуатационные характеристики
По территориальному размещению
По наличию соединения с сетями общего пользования
По встроенным (легальным) операциям с записями баз персональных данных
По разграничению доступа к персональным данным
По наличию соединений с другими базами ПДн иных ИСПДн
По уровню (обезличивания) ПДн
По объёму ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки
4.2. Требуемый уровень защищённости ИСПДн.
В соответствии постановлением Правительства Российской Федерации от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и пунктами 2.5 и 2.9 настоящей модели угроз для ЛИС I типа актуальны угрозы 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе и для ЛИС II типа актуальны угрозы 1 и 2-го типа, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
В ИСПДн администрации района обрабатывают «Иные» категории персональных данных сотрудников оператора и «Иные» категории персональных данных менее чем 100 000 субъектов персональных данных, не являющихся сотрудниками оператора.
В соответствии с имеющимися характеристиками, для обеспечения системы защиты персональных данных при их обработке в ИСПДн администрации района устанавливаются следующие уровни защищённости для ЛИС I типа — необходимо обеспечить 4-ый уровень защищённости персональных данных при их обработке в ИСПДн.
4.3. Классификация угроз безопасности персональных данных
4.3.1. Состав и содержание угроз безопасности персональных данных (далее — УБПДн) в ИСПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным.
Угроза безопасности реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создаёт необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Основными элементами канала реализации УБПДн являются:
а) источник УБПДн — субъект, материальный объект или физическое явление, создающее УБПДн;
б) среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
в) носитель ПДн — физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находит своё отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
1) акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении им функции голосового ввода ПДн в ИСПДн, либо воспроизводимая акустическими средствами ИСПДн;
2) видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, входящих в состав ИСПДн;
3) информация, обрабатываемая (циркулирующая) в ИСПДн в виде электрических, электромагнитных, оптических сигналов;
4) информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.
4.3.2. Угрозы безопасности персональных данных при их обработке в ИСПДн классифицируются по следующим признакам:
а) по видам возможных источников УБПДн;
б) по типу ИСПДн, на которые направлена реализация УБПДн;
в) по виду несанкционированных действий, осуществляемых с ПДн в ИСПДн;
г) по виду каналов, с использованием которых реализуются УБПДн.
4.3.3. По видам возможных источников УБПДн различают: угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель) и угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).
4.3.4. По типу ИСПДн, на которые направлена реализация УБПДн, выделяются угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем, не имеющих подключения к сетям общего пользования или сетям международного информационного обмена (ЛИС I типа);
4.3.5. По виду несанкционированных действий, осуществляемых с ПДн в ИСПДн, можно выделить следующие классы угроз, приводящие к нарушению:
а) конфиденциальности ПДн;
б) целостности ПДн;
в) доступности ПДн.
4.3.6. По виду каналов, с использованием которых реализуется угрозы безопасности ПДн:
а) угрозы, реализуемые через каналы, возникающие за счет использования технических средств съёма (добывания) информации, обрабатываемой в технических средствах ИСПДн (технические каналы утечки информации);
б) угрозы, реализуемые за счёт несанкционированного доступа (далее — НСД) к ПДн в ИСПДн с использованием штатного программного обеспечения ИСПДн или специального программного обеспечения.
4.4. Перечень угроз безопасности персональных данных, обрабатываемых в ИСПДн
4.4.1. Перечень угроз безопасности персональных данных в ИСПДн определяется в соответствии с «Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 15.02.2008, в зависимости от типа ИСПДн.
При обработке персональных данных в ИСПДн возможна реализация следующих УБПДн:
а) угрозы утечки информации по техническим каналам;
б) угрозы несанкционированного доступа (НСД) к ПДн;
в) угрозы НСД к ПДн с использованием протоколов межсетевого взаимодействия.
4.4.2. Угрозы утечки информации по техническим каналам включают в себя:
а) угрозы утечки акустической (речевой) информации;
б) угрозы утечки видовой информации;
в) угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (далее — ПЭМИН).
4.4.3. Угрозы несанкционированного доступа к ПДн включают в себя:
а) угрозы, реализуемые в ходе загрузки операционной системы;
б) угрозы, реализуемые после загрузки операционной системы;
в) угрозы внедрения вредоносных программ;
г) угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе;
д) угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
4.4.4. Угрозы НСД, свойственные для ИСПДн, подключённым к сетям связи общего пользования с использованием протоколов межсетевого взаимодействия, включают в себя:
1) угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации;
2) угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.;
3) угрозы получения НСД путём подмены доверенного объекта;
4) угрозы типа «Отказ в обслуживании»;
5) угрозы удалённого запуска приложений;
6) угрозы выявления паролей.
4.5. Определение вероятности реализации угроз безопасности ПДн, обрабатываемых в ИСПДн администрации района
4.5.1. Под вероятностью реализации угроз понимается определяемый экспертным путём показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для ИСПДн.
4.5.2. Числовой коэффициент (Y.2 ) для оценки вероятности возникновения угрозы определяется по четырём вербальным градациям этого показателя:
а) маловероятно — отсутствуют объективные предпосылки для осуществления угрозы (Y.2 = 0);
б) низкая вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют её реализацию (Y.2 = 2);
в) средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y.2 = 5);
г) высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y.2 = 10).
4.5.3. Определение вероятности реализации угроз проводится для всех выявленных угроз и для каждого типа ИСПДн.
4.5.4. Определение вероятности реализации угроз утечки информации по техническим каналам:
1. Угроза утечки акустической (речевой) информации.
Возникновение угрозы возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн. В ЛИС I типа администрации района функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами отсутствуют. Поэтому для всех типов ИСПДн вероятность реализации угрозы — маловероятная (Y.2 = 0).
2. Угроза утечки видовой информации.
Реализация угрозы возможна за счёт просмотра информации с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.
В ЛИС I типа администрации района введен контроль доступа в контролируемую зону. АРМ пользователей расположены так, что, практически, исключен визуальный просмотр мониторов, на окнах установлены жалюзи. Поэтому для всех типов ИСПДн вероятность реализации угрозы — маловероятная (Y.2 = 0).
3. Угроза утечки информации по каналам ПЭМИН возможна из-за наличия паразитных электромагнитных излучений у элементов ИСПДн.
ЛИС I типа администрации района расположены на значительном удалении от границ контролируемой зоны, сигналы ПЭМИН от ИСПДн экранируются несущими стенами здания, а также маскируются множеством других паразитных сигналов элементов, не входящих в ИСПДн. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района области — маловероятная (Y.2 = 0)
4.5.5. Определение вероятности реализации угроз НСД к персональным данным.
1. Угрозы, реализуемые до (в ходе) загрузки операционной системы.
Угрозы направлены на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода, перехват управления загрузкой. Такие угрозы реализуются с использованием отчуждаемых носителей информации в условиях наличия разрешения на загрузку АРМ с такого рода носителей. В ЛИС I типа администрации района загрузка с отчуждаемых носителей запрещена. Изменения способа загрузки возможно при наличии пароля администратора. Поэтому вероятность реализации угроз данного класса для ЛИС I типа администрации района — низкая (Y.2 = 2).
2. Угрозы, реализуемые после загрузки операционной системы.
Угрозы направлены на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных). Угрозы осуществляются с применением специально созданных для выполнения НСД программ. В ЛИС I типа администрации района установка специально созданных для выполнения НСД программ запрещена пользователям системы. Установка любого программного обеспечения может производиться только с правами администратора. Поэтому, вероятность реализации угроз данного класса для ЛИС I типа администрации района — низкая (Y.2 = 2).
3. Угроза внедрения вредоносных программ.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме того, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн. В ЛИС I типа администрации района используются съёмные накопители информации, с помощью которых возможен перенос вредоносных программ. Поэтому вероятность реализации угрозы данного класса для ЛИС I типа администрации района — средняя (Y.2 = 5).
4. Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, ошибки, программные закладки в программном обеспечении на стадии разработки, внедрения и сопровождения ИСПДн могут являться источником угроз безопасности информации. ЛИС I типа функционируют в пределах контролируемой зоны. Пользователи ИСПДн осведомлены о порядке работы с персональными данными, а также об ответственности за использование недокументированных свойств и ошибок в программном обеспечении или в настройках средств защиты, которые могут привести к возникновению кризисной ситуации. Об обнаружении такого рода ошибок пользователи обязаны ставить в известность руководителя своего подразделения, администратора информационной безопасности администрации района. Поэтому вероятность реализации угрозы данного класса для ЛИС I типа администрации района — маловероятна (Y.2 = 0).
5. Угроза выявления паролей.
Цель реализации угрозы состоит в получении НСД путём преодоления парольной защиты. Методами реализации угрозы могут быть: простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном, для реализации угрозы используются специальные программы, которые пытаются получить доступ путём последовательного подбора паролей. ЛИС I типа администрации района не доступны для внешних нарушителей, также приняты меры по применению стойких к взлому паролей. Поэтому, вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0).
6. Определение вероятности угроз, реализуемых с использованием протоколов межсетевого взаимодействия:
1) угроза «Анализ сетевого трафика».
Угроза реализуется с помощью специальной программы-анализатора сетевых пакетов, передаваемых по сегменту сети, и выделяющей среди них необходимую информацию, в том числе идентификатор пользователя и его пароль.
В ЛИС I типа администрации района все технические средства и средства передачи данных находятся в пределах контролируемой зоны и к сетям общего пользования, из которых может быть осуществлена угроза, не подключены. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0);
2) угроза «Сканирование сети».
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них, цель — выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
ЛИС I типа администрации района не подключены к сетям общего пользования. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0);
3) угроза получения НСД путём подмены доверенного объекта.
Угроза позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта или осуществлять передачу служебных сообщений от имени сетевых управляющих устройств. Такая угроза эффективно реализуется в системах, в которых применяются нестойкие алгоритмы идентификации и аутентификации объектов сети, легально подключённых к серверу. Угроза реализуется, как правило, через сети общего пользования. ЛИС I типа администрации района не подключены к сетям общего пользования. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0);
4) угроза типа «Отказ в обслуживании».
Основана на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты. В результате реализации угроз «Отказа в обслуживании» происходит переполнение буферов и блокирование процедур обработки, «зацикливание» процедур обработки и «зависание» компьютера, отбрасывание пакетов сообщений. Угроза реализуется, как правило, через сети общего пользования. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0);
5) угроза удалённого запуска приложений.
Угроза заключается в попытке запуска в ИСПДн различных предварительно внедрённых вредоносных программ: программ-закладок, вирусов, «сетевых шпионов», кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных. Угроза реализуется, как правило, через сети общего пользования. Поэтому вероятность реализации угрозы для ЛИС I типа администрации района — маловероятная (Y.2 = 0).
7. Оценка вероятности реализации угроз безопасности для ИСПДн администрации района приведена в таблице N 2.
Угроза безопасности ПДн
Угрозы, реализуем в ходе загрузки операционной системы
Угрозы, реализуемые после загрузки операционной системы
Угроза внедрения вредоносных программ
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
Угроза выявления паролей
Угроза «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации
Угроза «Сканирование сети», направленная на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений
Угроза получения НСД путём подмены доверенного объекта
Угроза типа «Отказ в обслуживании»
Угроза удалённого запуска приложений
4.6. Определение возможности реализации угрозы безопасности ПДн, обрабатываемых в ИСПДн администрации района
4.6.1. По итогам оценки уровня исходной защищённости (Y.1 ) и вероятности реализации угрозы (Y.2 ), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (таблица 3). Коэффициент реализуемости угрозы рассчитывается по формуле: Y= (Y.1+ Y.2) /20), причём:
а) если 0 Y 0,3, то возможность реализации угрозы признается низкой;
б) если 0,3< Y 0,6, то возможность реализации угрозы признается средней;
в) если 0,6< Y 0,8, то возможность реализации угрозы признается высокой;
г) если Y>0,8, то возможность реализации угрозы признается очень высокой.
4.6.2. Оценка реализуемости УБПДн представлена в таблице N 3.
Угроза безопасности ПДн
Возможность реализации угрозы/ (Коэффициент реализуемости угрозы (Y)) ЛИС I типа
Угрозы, реализуемые в ходе загрузки операционной системы
Угрозы, реализуемые после загрузки операционной системы
Угроза внедрения вредоносных программ
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
Угроза выявления паролей
Угроза «Анализа сетевого трафика»
Угроза «Сканирование сети»
Угроза получения НСД путём подмены доверенного объекта
Угроза типа «Отказ в обслуживании»
Угроза удалённого запуска приложений
4.7. Оценка опасности угроз в ИСПДн администрации района
4.7.1. Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:
а) низкая опасность — если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
б) средняя опасность — если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;
в) высокая опасность — если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
4.7.2. Оценка опасности представлена в таблице N 4.
Угроза безопасности ПДн
Опасность угроз ЛИС I типа
Угрозы, реализуемые в ходе загрузки операционной системы
Угрозы, реализуемые после загрузки операционной системы
Угроза внедрения вредоносных программ
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
Угроза выявления паролей
Угроза «Анализа сетевого трафика»
Угроза «Сканирование сети»
Угроза получения НСД путём подмены доверенного объекта
Угроза типа «Отказ в обслуживании»
Угроза удалённого запуска приложений
4.8. Определение актуальных угроз безопасности ПДн, обрабатываемых в ИСПДн администрации района
4.8.1. В соответствии с правилами отнесения угрозы безопасности к актуальной, определёнными «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённой заместителем директора ФСТЭК России 14 февраля 2008 года, для ИСПДн администрации района определены актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн администрации района (таблица N 5).
Угроза безопасности ПДн
Актуальность угрозы ЛИС I типа
Угроза утечки акустической (речевой) информации
Угроза утечки видовой информации
Угроза утечки информации по каналу ПЭМИН
Угрозы, реализуемые в ходе загрузки операционной системы
Угрозы, реализуемые после загрузки операционной системы
Угроза внедрения вредоносных программ
Угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе
Угроза выявления паролей
Угроза «Анализа сетевого трафика»
Угроза «Сканирования сети»
Угроза получения НСД путём подмены доверенного объекта
Угроза типа «Отказ в обслуживании»
Угроза удалённого запуска приложений
4.8.2. Таким образом, актуальными угрозами безопасности персональных данных, обрабатываемых в ИСПДн администрации района, являются:
а) угрозы, реализуемые в ходе загрузки операционной системы;
б) угрозы, реализуемые после загрузки операционной системы;
в) угроза внедрения вредоносных программ.
| << Приложение N 13. Согласие на обработку персональных данных, лиц участвующих в конкурсе на замещение вакантной должности муниципальной. |
Приложение >> N 15. Описание технологического процесса обработки персональных данных в информационных системах персональных данных |
| Содержание Распоряжение Администрации Великоустюгского муниципального района Вологодской области от 20 мая 2021 г. N 111 "Об утверждении. |
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
6. Типовые модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных
В зависимости от целей и содержания обработки ПДн оператор может осуществлять обработку ПДн в ИСПДн различных типов.
По структуре информационные системы подразделяются на автоматизированные рабочие места, локальные информационные системы и распределенные информационные системы.
По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.
По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.
По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.
Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации.
В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн:
автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена.
Применительно к основным типам ИСПДн составляются типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации УБПДн.
Частные модели угроз безопасности ПДн применительно к конкретным ИСПДн составляются операторами, заказчиками и разработчиками ИСПДн на этапах их создания и (или) эксплуатации.
25. Частная модель угроз
Разработка модели угроз должна базироваться на следующих принципах:
Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных (СЗПДн).
При формировании модели угроз необходимо учитывать как угрозы, осуществление которых нарушает безопасность персональных данных (далее – прямая угроза), так и угрозы, создающие условия для появления прямых угроз (далее – косвенные угрозы) или косвенных угроз.
Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.
Система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации).
Для разработки модели угроз необходимо последовательно осуществить следующие шаги:
определить пользователей ИСПДн
определить тип ИСПДн
определить исходный уровень защищенности ИСПДн
определить вероятность реализации угроз в ИСПДн
определить возможность реализации угроз в ИСПДн
оценить опасность угроз;
определить актуальность угроз в ИСПДн
После прохождения всех шагов будет сформирована частная модель угроз. Модель угроз составляется для каждой выявленной ИСПДн и оформляется в виде документа
26. Методы и способы защиты информации от несанкционированного доступа
1.1. Методами и способами зашиты информации от несанкционированного доступа являются:
реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
регистрация действий пользователей и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц;
учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
резервирование технических средств, дублирование массивов и носителей информации;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
использование защищенных каналов связи;
размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
организация физической защиты помещений и собственно технических средств, позволяющих осуществлять обработку персональных данных;
предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.
1.2. В системе защиты персональных данных информационной системы в зависимости от класса информационной системы и исходя из угроз безопасности персональных данных, структуры информационной системы, наличия межсетевого взаимодействия и режимов обработки персональных данных с использованием соответствующих методов и способов защиты информации от несанкционированного доступа реализуются функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия и обнаружения вторжений.
Методы и способы защиты информации от несанкционированного доступа, обеспечивающие функции управления доступом, регистрации и учета, обеспечения целостности, анализа защищенности, обеспечения безопасного межсетевого взаимодействия в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению.
1.3. В информационных системах, имеющих подключение к информационно- телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования), или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты.
1.4. При взаимодействии информационных систем с информационно- телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с методами и способами, указанными в пункте 1.1 настоящего Положения, основными методами и способами защиты информации от несанкционированного доступа являются:
межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;
обнаружение вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
анализ защищенности информационных систем, предполагающий применение специализированных программных средств (сканеров безопасности);
защита информации при ее передаче по каналам связи;
использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;
использование средств антивирусной защиты;
централизованное управление системой защиты персональных данных информационной системы.
1.5. Подключение информационных систем, обрабатывающих государственные информационные ресурсы, к информационно-телекоммуникационным сетям международного информационного обмена осуществляется в соответствии с Указом Президента Российской Федерации от 17 марта 2008 г. N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена» (Собрание законодательства Российской Федерации, 2008, N 12, ст. 1110; N 43, ст. 4919).
1.6. Для обеспечения безопасности персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) с целью получения общедоступной информации помимо методов и способов, указанных в пунктах 1.1 и 1.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
фильтрация входящих (исходящих) сетевых пакетов по правилам, заданным оператором (уполномоченным лицом);
периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на информационные системы;
активный аудит безопасности информационной системы на предмет обнаружения в режиме реального времени несанкционированной сетевой активности;
анализ принимаемой по информационно-телекоммуникационным сетям международного информационного обмена (сетям связи общего пользования) информации, в том числе на наличие компьютерных вирусов.
Для реализации указанных методов и способов защиты информации могут применяться межсетевые экраны, системы обнаружения вторжений, средства анализа защищенности, специализированные комплексы защиты и анализа защищенности информации.
1.7. Для обеспечения безопасности персональных данных при удаленном доступе к информационной системе через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
проверка подлинности отправителя (удаленного пользователя) и целостности передаваемых по информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) данных;
управление доступом к защищаемым персональным данным информационной сети;
использование атрибутов безопасности.
1.8. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 1.1 и 1.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
осуществление аутентификации взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных.
1.9. Для обеспечения безопасности персональных данных при межсетевом взаимодействии отдельных информационных систем разных операторов через информационно-телекоммуникационную сеть международного информационного обмена (сеть связи общего пользования) помимо методов и способов, указанных в пунктах 2.1 и 2.4 настоящего Положения, применяются следующие основные методы и способы защиты информации от несанкционированного доступа:
создание канала связи, обеспечивающего защиту передаваемой информации;
аутентификация взаимодействующих информационных систем и проверка подлинности пользователей и целостности передаваемых данных;
обеспечение предотвращения возможности отрицания пользователем факта отправки персональных данных другому пользователю;
обеспечение предотвращения возможности отрицания пользователем факта получения персональных данных от другого пользователя.
Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) применения технических средств.
Подключение информационной системы к информационной системе другого класса или к информационно-телекоммуникационной сети международного информационного обмена (сети связи общего пользования) осуществляется с использованием межсетевых экранов.
1.12. Программное обеспечение средств защиты информации, применяемых в информационных системах: 1 класса, проходит контроль отсутствия недекларированных:
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
1.13. В зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных.
Справочно-информационная система по защите персональных данных
Работы по формированию модели угроз безопасности персональных данных, при их обработке в информационных системах персональных данных с использованием средств автоматизации проводятся в соответствии с основными документами:
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- «Требования к защите персональных данных при их обработке в информационных системах персональных данных» — Постановление Правительства РФ от 1 ноября 2012 г, № 1119.
- Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 года № 55/86/20 (зарегистрирован Минюстом России 3 апреля 2008 года, регистрационный № 11462) (далее — Порядок);
- Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);
- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.).
- Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. № 21) (Вместо приказа № 58 от 02,02,2010 ФСТЭК России)
Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создаю¬щих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанк-ционированных действий при их обработке в информационной системе персональных данных (Методика определения актуаль¬ных угроз безопасности персональных данных при их обработке в информационных системах персональных данных).
Технические и программные сред¬ства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обес¬печивающим защиту информации.
Для обеспечения безопасности ПДн при их обработке в информационных системах осуществляется защита речевой информации и информации, обрабатываемой техническими средствами, а также информации, представленной в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно-оптической и иной основе.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанк-ционированных действий.
Мероприятия, предусмотренные Положением (п. 12) по обеспечению безопасности ПДн при их обработке в информационных системах включают в себя:
- выявление угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;
- разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;
- проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;
- установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;
- обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;
- учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
- учет лиц, допущенных к работе с персональными данными в информационной системе;
- контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
- разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений;
- описание системы защиты персональных данных.
необходимым элемен¬том разработки системы защиты персональных данных является формирование модели угроз безопасности персональных дан¬ных (далее — модель угроз). Далее, в Порядке (п. 16) отмечено, что модель угроз необходима для определения класса специаль¬ной информационной системы.
Модель угроз формируется и утверждается оператором в соответствии с методическими документами:
■ Методический документ ФСТЭК России. Базовая мо¬дель угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
■ Методический документ ФСТЭК России. Методика определения актуальных угроз безопасности персо¬нальных данных при их обработке в информационных системах персональных данных.
■ Методический документ ФСБ России. Методические рекомендации по обеспечению с помощью криптос¬редств безопасности персональных данных при их об¬работке в информационных системах персональных данных с использованием средств автоматизации.
1. Схема формирования модели угроз
При формировании модели угроз необходимо учитывать что:
■ Безопасность персональных данных при их обработке в информационных системах обеспечивается с помо¬щью системы защиты персональных данных, пони¬маемая как комплекс организационно-технических мероприятий.
■ При формировании модели угроз необходимо учиты¬вать как угрозы, осуществление которых нарушает безопасность персональных данных (далее — прямая угроза), так и угрозы, создающие условия для появле¬ния прямых угроз, иначе — косвенных угроз.
■ Персональные данные обрабатываются и хранятся в информационной системе с использованием опреде¬ленных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвен¬ные угрозы защищаемой информации.
■ Никакая система защиты персональных данных не может обеспечить защиту информации от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗПДн не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой ин¬формации).
При формировании модели угроз необходимо последова¬тельно осуществить следующие шаги:
1. проанализировав источники угроз безопасности и уязвимости элементов ИСПДн, сформировать пере¬чень угроз безопасности персональных данных;
2. описать ИСПДн, указав структуру технических средств и программного обеспечения;
3. определить категории пользователей ИСПДн;
4. определить тип ИСПДн;
5. определить исходный уровень защищенности ИСПДн;
6. определить вероятность реализации угроз в ИСПДн ;
7. определить возможность реализации угроз в ИСПДн
8. оценить опасность угроз;
9. определить перечень актуальных угроз в ИСПДн.
После прохождения всех шагов будет сформирована част¬ная модель угроз. Частная модель угроз составляется для каж¬дой выявленной ИСПДн и оформляется в виде документа Модель угроз безопасности персональных данных.
2. Характеристики безопасности ПДн
Характеристиками безопасности ПДн в контексте норма-тивных документов являются требования обеспечения конфи-денциальности, защиты от уничтожения, изменения, блокирова¬ния и другие требования безопасности в отношении ПДн.
Оператор ПДн должен задать требования обеспечения безопасности в отношении обрабатываемых им ПДн.
По заданным оператором характеристикам безопасности персональных данных, обрабатываемых в информационной сис¬теме, информационные системы подразделяются на типовые и специальные информационные системы:
■ Типовые информационные системы — информацион¬ные системы, в которых требуется обеспечение только конфиденциальности персональных данных.
■ Специальные информационные системы — информа-ционные системы, в которых вне зависимости от не-обходимости обеспечения конфиденциальности пер-сональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).
К специальным информационным системам должны быть отнесены:
■ информационные системы, в которых обрабатываются персональные данные, касающиеся состояния здоро¬вья субъектов ПДн;
■ информационные системы, в которых предусмотрено принятие на основании исключительно автоматизиро-ванной обработки персональных данных решений, по-рождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.
3. Перечень угроз
Перечень угроз, уязвимостей и технических каналов утеч¬ки информации формируется в соответствии с требованиями руководящих документов ФСТЭК России, при необходимости может быть использован ГОСТ Р 51275-2006.
Определение угроз безопасности персональных данных осуществляется на основе утвержденной ФСТЭК России "Базо¬вой модели угроз безопасности персональных данных". Полный перечень факторов, действующих на безопасность информации, в целях обоснования угроз безопасности информации и требо¬ваний по ее защите, определен ГОСТ Р 51275-2006.
Состав и содержание угроз безопасности персональных данных (УБПДн) определяется совокупностью условий и фак¬торов, создающих опасность несанкционированного, в том чис¬ле случайного, доступа к ПДн обрабатываемым в ИСПДн.
Как правило, ИСПДн учреждения представляет собой со-вокупность информационных и программно-аппаратных эле¬ментов и их особенностей как объектов обеспечения безопасно¬сти. Составляющими ИСПДн являются:
■ персональные данные, обрабатываемые в ИСПДн;
■ информационные технологии, как совокупность прие¬мов, способов и методов применения средств вычис¬лительной техники при обработке ПДн;
■ технические средства ИСПДн, осуществляющие обра¬ботку ПДн (средства вычислительной техники (СВТ), информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн;
■ программные средства (операционные системы, сис¬темы управления базами данных и т. п.);
■ средства защиты информации (СЗИ), включая СКЗИ;
■ вспомогательные технические средства и системы (технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но разме¬щенные в помещениях, в которых расположены ИСПДн, такие как средства вычислительной техники, средства и системы охранной и пожарной сигнализа¬ции, средства и системы кондиционирования, средства электронной оргтехники и т. п.) (далее — ВТСС);
■ документация на СКЗИ (если имеются), технические и программные компоненты ИСПДн;
При составлении перечня следует учитывать, что о нали¬чии угрозы свидетельствует наличие источников угрозы и уяз¬вимых звеньев, что может быть использовано для реализации угрозы. Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уяз¬вимых звеньев ИСПДн, а также по данным обследования ИСПДн — перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопас¬ности информации и составляется их полный перечень. На ос¬новании дальнейшего анализа этого перечня формируется пере¬чень актуальных угроз безопасности ПДн.
Типовые модели угроз
В зависимости от целей и содержания обработки ПДн оператор может осуществлять обработку ПДн в ИСПДн различ¬ных типов.
В документе "Базовая модель угроз безопасности персо-нальных данных" приведены типовые модели угроз безопасно¬сти ПДн в зависимости от типа ИСПДн (не нужно путать с по¬нятиями типовая и специальная ИСПДн из приказа ФСТЭК, ФСБ и Мининформсвязи России «Порядок проведения класси¬фикации информационных систем персональных данных»).
Выбор типовой модели угроз осуществляется в зависимо¬сти от того, имеют ли ИСПДн подключение к сетям общего пользования и (или) сетям международного информационного обмена, а также от их структуры (автономные автоматизирован¬ные рабочие места, локальные сети, распределенные ИСПДн с удаленным доступом).
В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкциони¬рованного или случайного доступа в "Базовой модели угроз безопасности персональных данных" выделены типовые модели угроз безопасности ИСПДн:
■ автоматизированные рабочие места, не имеющие под-ключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
■ автоматизированные рабочие места, имеющие под-ключение к сетям связи общего пользования и (или) сетям международного информационного обмена;
■ локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международ¬ного информационного обмена;
■ локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международ¬ного информационного обмена;
■ распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям между¬народного информационного обмена;
■ распределенные ИСПДн, имеющие подключение к се¬тям связи общего пользования и (или) сетям междуна¬родного информационного обмена.
Частные модели угроз
Типовые модели угроз учитывают, в основном, удовле¬творение таким характеристикам безопасности как конфиденци¬альность. В этом смысле следует считать, что типовые модели безопасности соответствуют понятию «типовая ИСПДн». По¬этому при составлении модели угроз специальной ИСПДн пере¬чень угроз безопасности должен быть уточнен (характеристики безопасности — целостность, доступность, защита от уничтоже¬ния, блокирования и т. п.).
Если модель угроз ИСПДн не может быть отнесена к ти¬повой, то модель угроз специальной информационной системы разрабатывается с учетом полного списка факторов угроз безо-пасности ГОСТ Р 51275-2006.
Как в случае типовых моделей угроз, наименьшее количе¬ство угроз имеют автоматизированные рабочие места и локаль¬ные ИСПДн, не подключенные к сетям общего пользования.
Для каждой угрозы, приведенной в типовой модели и включенной в список угроз при формировании частной модели угроз, следует оценить возможную степень ее реализации. Если она окажется высокой, то это может потребовать применения соответствующих дополнительных технических средств защиты информации.
Возможность реализации угрозы зависит от уровня ис¬ходной защищенности ИСПДн и вероятности реализации угрозы.
4. Выявление источников угроз
Источниками угроз, реализуемых за счет несанкциониро-ванного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, яв¬ляются субъекты, действия которых нарушают регламентируе¬мые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть:
■ носители вредоносной программы;
■ аппаратные или программные закладки.
Нарушитель — физическое лицо, случайно или преднаме¬ренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке в информаци¬онных системах. С точки зрения наличия права легального дос¬тупа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители под¬разделяются на два типа:
■ нарушители, не имеющие доступа к ИСПДн, реали-зующие угрозы из подсетей локальной сети, внешних сетей связи общего пользования и (или) сетей между-народного информационного обмена, — внешние на-рушители;
■ нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непо-средственно в ИСПДн, — внутренние нарушители.
Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут яв¬ляться лица, имеющие возможность осуществлять несанкциони¬рованный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминаль¬ные устройства ИСПДн, подключенные к сетям общего пользо¬вания.
Возможности внутреннего нарушителя существенным об¬разом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн, правил выполнения работ и мер по контролю порядка проведения работ.
Угрозы несанкционированного доступа внешних наруши¬телей к ресурсам ИСПДн реализуются с использованием сете¬вых протоколов локально вычислительной сети (ЛВС) и прото¬колов межсетевого взаимодействия. Возможности нарушителей существенно зависят от установленных правил эксплуатации, корректной настройки программно-аппаратного обеспечения ЛВС.
Имеет смысл классифицировать персонал организации по ролевым признакам в отношении к ИСПДн. Типовой состав пользователей ИСПДн может быть представлен в виде таблицы (матрицы доступа).
Матрица доступа в табличной форме отражает права всех групп пользователей ИСПДн на действия с персональными дан¬ными. Пользователи ИСПДн выполняют следующие действия (операции): сбор, систематизацию, накопление, хранение, уточ¬нение (обновление, изменение), использование, распростране¬ние (в том числе передачу), обезличивание, блокирование, и уничтожение персональных данных.
Как правило, существуют три основные группы пользова¬телей ИСПДн:
■ Администраторы ИСПДн, осуществляющие настройку и установку технических средств ИСПДн и обеспечи¬вающие ее бесперебойную работу;
■ Разработчики ИСПДн, осуществляющие разработку и поддержку программного обеспечения собственной разработки или стандартных программ, специально доработанных под нужды организации;
■ Операторы ИСПДн, осуществляющие текущую работу с персональными данными.
Уровень доступа к ПДн
Обладает полной информацией о системном и прикладном программном обеспечении ИСПДн. Обладает полной информацией о технических средствах и конфигурации ИСПДн.
Имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн.
Обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Обладает информацией об алгоритмах и программах обработки информации на ИСПДн.
Обладает правами внесения изменений в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения.
Располагает всей информаций о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн
Обладает правами доступа к подмножеству ПДн.
Располагает информацией о топологии ИСПДн на базе локальной и(или)распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн.
Состав групп может быть уточнен, например, может быть несколько групп операторов ИСПДн. Одна осуществляет лишь сбор и систематизацию персональных данных, другая — уточне¬ние, использование и распространение, третья — резервное ко¬пирование и т. д. В матрице доступа должно быть описание всех групп, обладающих правами на определенные действия с ПДн. Должен быть уточнен список разрешенных действий каждой из групп.
Должен быть предусмотрен порядок предоставления и прекращения доступа тем или иным пользователям, при наступ¬лении, каких событий (прием и увольнение с работы, инициати¬ва или требование руководителя, службы безопасности и т. п.) и на основании каких документов (политик и инструкций) проис¬ходит предоставление и прекращение доступа.
Сотрудники выявленных групп пользователей, должны быть рассмотрены в качестве потенциальных внутренних нару¬шителей — источников угроз безопасности.
5. Выявление уязвимостей ИСПДн
Организационно-территориальная структура предприятия.
Заполняется информация об организационно¬территориальной структуре организации, входящей в защищае¬мую зону автоматизации, к которой предъявляются требования по защите персональных данных.
Оборудование и системное программное обеспечение
Заполняются сведения об оборудовании и системном про-граммном обеспечении, которое будет применяться (применяет¬ся) для решения задач обработки ПДн, к которым предъявляют¬ся требования по защите.