Составление модели угроз

Лекция 4 СОСТАВЛЕНИЕ МОДЕЛИ УГРОЗ Выявление угроз безопасности персональных данных и определение актуальных угроз на основании их характеристик является важным этапом в построении системы защиты персональных данных. В соответствии с Постановление Правительства №1119: Безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы, определенные в соответствии с «частью 5 статьи 19» Федерального закона «О персональных данных». Таким образом, создаваемая система защиты персональных данных должна нейтрализовать в первую очередь актуальные угрозы, состав которых определяется при построении модели угроз. Сложность построения модели угроз заключается в том, что состав угроз может значительно меняться в зависимости от структуры информационной системы персональных данных, используемых информационных технологий, режима обработки ПДн, наличия подключения к сети Интернет и пр. Оценки характеристик угроз безопасности так же индивидуальны для каждой ИСПДн. Ещё одна сложность заключается в получении объективных оценок характеристик угроз. Зачастую получение прямых количественных оценок характеристик угроз безопасности невозможно. Они определяются на основании субъективного мнения экспертов, что может сказаться на повторяемости или точности оценок. Оператору либо организации, осуществляющей предпроектное обследование информационных систем персональных данных по договору с Оператором, необходимо составить перечень угроз безопасности персональных данных, определить их характеристики, провести оценку возможного вреда субъектам персональных данных в случае реализации актуальных угроз. 4.1 Выявление угроз безопасности ПДн при их обработке в ИСПДн Модель угроз содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах персональных данных, связанным: • с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения; • с несанкционированным, в том числе случайным, доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн. Состав и содержание УБПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн. Совокупность таких условий и факторов формируется с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы. В целях формирования систематизированного перечня УБПДн при их обработке в ИСПДн и разработке на их основе частных моделей применительно к конкретному виду ИСПДн угрозы классифицируются в соответствии со следующими признаками (рис. 4.1): • по виду защищаемой от УБПДн информации, содержащей ПДн; • по видам возможных источников УБПДн; • по типу ИСПДн, на которые направлена реализация УБПДн; • по способу реализации УБПДн; • по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн); • по используемой уязвимости; • по объекту воздействия. Рис. 4.1 – Классификация угроз безопасности персональных данных По видам возможных источников УБПДн выделяются следующие классы угроз: • угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель); • угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель). Кроме того, угрозы могут возникать в результате внедрения аппаратных закладок и вредоносных программ. По типу ИСПДн, на которые направлена реализация УБПДн, выделяются следующие классы угроз: • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автономного автоматизированного рабочего места (АРМ); • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе АРМ, подключенного к сети общего пользования (к сети международного информационного обмена); • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена); • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена); • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена); • угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена). По способам реализации УБПДн выделяются следующие классы угроз: • угрозы, связанные с НСД к ПДн (в том числе угрозы внедрения вредоносных программ); • угрозы утечки ПДн по техническим каналам утечки информации; • угрозы специальных воздействий на ИСПДн. По виду несанкционированных действий, осуществляемых с ПДн, выделяются следующие классы угроз: • угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации; • угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение; • угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн. По используемой уязвимости выделяются следующие классы угроз: • угрозы, реализуемые с использованием уязвимости системного ПО; • угрозы, реализуемые с использованием уязвимости прикладного ПО; • угрозы, возникающие в результате использования уязвимости, вызванной наличием в АС аппаратной закладки; • угрозы, реализуемые с использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных; • угрозы, возникающие в результате использования уязвимости, вызванной недостатками организации ТЗИ от НСД; • угрозы, реализуемые с использованием уязвимостей, обусловливающих наличие технических каналов утечки информации; • угрозы, реализуемые с использованием уязвимостей СЗИ. По объекту воздействия выделяются следующие классы угроз: • угрозы безопасности ПДн, обрабатываемых на АРМ; • угрозы безопасности ПДн, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах, графопостроителях, вынесенных мониторах, видеопроекторах, средствах звуковоспроизведения и т. п.); • угрозы безопасности ПДн, передаваемых по сетям связи; • угрозы прикладным программам, с помощью которых обрабатываются ПДн; • угрозы системному ПО, обеспечивающему функционирование ИСПДн. Реализация одной из УБПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн: • значительным негативным последствиям для субъектов ПДн; • негативным последствиям для субъектов ПДн; • незначительным негативным последствиям для субъектов ПДн. Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн. Угрозы, связанные с несанкционированным доступом (НСД) (далее – угрозы НСД в ИСПДн), представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн или самих ПДн) и возможных деструктивных действий. Угрозы утечки информации по техническим каналам При обработке ПДн в ИСПДн за счет реализации технических каналов утечки информации возможно возникновение следующих УБПДн: • угроз утечки акустической (речевой) информации; • угроз утечки видовой информации; • угроз утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Угрозы утечки информации по техническим каналам была подробно рассмотрены ранее. Рассмотрим более подробно угрозы, связанные с несанкционированным доступом. Угрозы несанкционированного доступа к информации в информационной системе персональных данных Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя: • угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения); • угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т. п.; • угрозы внедрения вредоносных программ (программно-математического воздействия). Рис. 4.2 – Состав элементов описания угроз несанкционированного доступа к информации в ИСПДн Кроме этого, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа. Угрозы доступа (проникновения) в операционную среду ИСПДн с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа. Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера. Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия. Эти угрозы реализуются относительно ИСПДн как на базе автоматизированного рабочего места, не включенного в сети связи общего пользования, так и применительно ко всем ИСПДн, имеющим подключение к сетям связи общего пользования и сетям международного информационного обмена. Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств – это угрозы «Отказа в обслуживании». Как правило, данные угрозы рассматриваются применительно к ИСПДн на базе локальных и распределенных информационных систем вне зависимости от подключения информационного обмена. Их реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению: • содержания служебной информации в пакетах сообщений, передаваемых по сети; • условий обработки данных (например, игнорирование ограничений на длину пакета сообщения); • форматов представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия); • программного обеспечения обработки данных. В результате реализации угроз «Отказа в обслуживании» происходит переполнение буферов и блокирование процедур обработки, «зацикливание» процедур обработки и «зависание» компьютера, отбрасывание пакетов сообщений и др. Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, количество вредоносных программ сегодня уже значительно превышает сто тысяч. Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать класс вредоносной программы, способы и последствия от ее внедрения (инфицирования). Далее дается общая характеристика источников угроз безопасности информации, уязвимостей, которые могут быть использованы при реализации угроз НСД, и характеристика результатов несанкционированного или случайного доступа. Характеристика способов реализации угроз дается при описании угроз доступа (проникновения) в операционную среду компьютера, угроз отказа в обслуживании и угроз ПМВ. Характеристика источников угроз несанкционированного доступа в информационной системе персональных данных Источниками угроз НСД в ИСПДн могут быть: • нарушитель; • носитель вредоносной программы; • аппаратная закладка. Угрозы безопасности ПДн, связанные с внедрением аппаратных закладок, определяются в соответствии с нормативными документами Федеральной службы безопасности Российской Федерации в установленном ею порядке. По наличию права постоянного или разового доступа в контролируемую зону ИСПДн нарушители подразделяются на два типа: • нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители; • нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители. Внешними нарушителями могут быть: • разведывательные службы государств; • криминальные структуры; • конкуренты (конкурирующие организации); • недобросовестные партнеры; • внешние субъекты (физические лица). Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ. Внутренние потенциальные нарушители, как было рассмотрено ранее, подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн. Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются: • отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т. п.; • встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, – видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т. п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода/вывода); • микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т. п.). Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются: • пакеты передаваемых по компьютерной сети сообщений; • файлы (текстовые, графические, исполняемые и т. д.). Характеристика уязвимостей информационной системы персональных данных Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности персональных данным. Причинами возникновения уязвимостей являются: • ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения; • преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения; • неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ; • несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях); • внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении; • несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей; • сбои в работе аппаратного и программного обеспечения (вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.). Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем. При этом возможны уязвимости: • в микропрограммах, в прошивках ПЗУ, ППЗУ; • в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т. п.), драйверах, утилитах; • в средствах операционной системы, предназначенных для выполнения вспомогательных функций, – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т. п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т. п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т. д.); • в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы. Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой: • функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой; • фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.; • отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т. п.); • ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации. Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Для систематизации описания множества уязвимостей используется единая база данных уязвимостей CVE (Common Vulnerabilities and Exposures), в разработке которой принимали участие специалисты многих известных компаний и организаций, таких как MITRE, ISS, Cisco, BindView, Axent, NFR, L-3, CyberSafe, CERT, Carnegie Mellon University, институт SANS и т. д. Эта база данных постоянно пополняется и используется при формировании баз данных многочисленных программных средств анализа защищенности и, прежде всего, сетевых сканеров. К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы. Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т. п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Studio), средства защиты информации общего пользования и т. п. Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн). Уязвимости прикладного программного обеспечения могут представлять собой: • функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; • функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; • фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; • отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т. п.); • ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации. Данные об уязвимостях разрабатываемого и распространяемого на коммерческой основе прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных CVE. Характеристика угроз непосредственного доступа в операционную среду информационной системы персональных данных Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом: • к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) ИСПДн, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя; • в операционную среду, то есть в среду функционирования локальной операционной системы отдельного технического средства ИСПДн с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия; • в среду функционирования прикладных программ (например, к локальной системе управления базами данных); • непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных) и обусловлены возможностью нарушения ее конфиденциальности, целостности и доступности. Эти угрозы могут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн. Их можно объединить по условиям реализации на три группы. Первая группа включает в себя угрозы, реализуемые в ходе загрузки операционной системы. Эти угрозы безопасности информации направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода/вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации. Вторая группа – угрозы, реализуемые после загрузки операционной среды независимо от того, какая прикладная программа запускается пользователем. Эти угрозы, как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программы общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например: • программами просмотра и модификации реестра; • программами поиска текстов в текстовых файлах по ключевым словам и копирования; • специальными программами просмотра и копирования записей в базах данных; • программами быстрого просмотра графических файлов, их редактирования или копирования; • программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др. Наконец, третья группа включает в себя угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ. Большая часть таких угроз – это угрозы внедрения вредоносных программ. Характеристика угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия Если ИСПДн реализована на базе локальной или распределенной информационной системы, то в ней могут быть реализованы угрозы безопасности информации путем использования протоколов межсетевого взаимодействия. При этом может обеспечиваться НСД к ПДн или реализовываться угроза отказа в обслуживании. Особенно опасны угрозы, когда ИСПДн представляет собой распределенную информационную систему, подключенную к сетям общего пользования и (или) сетям международного информационного обмена. В основу классификации угроз безопасности персональных данных, реализуемых с использованием протоколов межсетевого взаимодействия, положено семь следующих первичных признаков. 1. Характер угрозы. По этому признаку угрозы могут быть пассивные и активные. Пассивная угроза – это угроза, при реализации которой не оказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Анализ сетевого трафика», направленная на прослушивание каналов связи и перехват передаваемой информации. Активная угроза – это угроза, связанная с воздействием на ресурсы ИСПДн, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.), и с нарушением установленных правил разграничения доступа к ПДн или сетевым ресурсам. Примером таких угроз является угроза «Отказ в обслуживании», реализуемая как «шторм TCP-запросов». 2. Цель реализации угрозы. По этому признаку угрозы могут быть направлены на нарушение конфиденциальности, целостности и доступности информации (в том числе на нарушение работоспособности ИСПДн или ее элементов). 3. Условие начала осуществления процесса реализации угрозы. По этому признаку может реализовываться угроза: • по запросу от объекта, относительно которого реализуется угроза. В этом случае нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа; • по наступлению ожидаемого события на объекте, относительно которого реализуется угроза. В этом случае нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает несанкционированный доступ; • безусловное воздействие. В этом случае начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы. 4. Наличие обратной связи с ИСПДн. По этому признаку процесс реализации угрозы может быть с обратной связью и без обратной связи. Угроза, осуществляемая при наличии обратной связи с ИСПДн, характеризуется тем, что на некоторые запросы, переданные на ИСПДн, нарушителю требуется получить ответ. Следовательно, между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн. В отличие от угроз, реализуемых при наличии обратной связи с ИСПДн, при реализации угроз без обратной связи не требуется реагировать на какие-либо изменения, происходящие в ИСПДн. 5. Расположение нарушителя относительно ИСПДн. В соответствии с этим признаком угроза реализуется как внутрисегментно, так и межсегментно. Сегмент сети – физическое объединение хостов (технических средств ИСПДн или коммуникационных элементов, имеющих сетевой адрес). Например, сегмент ИСПДн образует совокупность хостов, подключенных к серверу по схеме «общая шина». В случае, когда имеет место внутрисегментная угроза, нарушитель имеет физический доступ к аппаратным элементам ИСПДн. Если имеет место межсегментная угроза, то нарушитель располагается вне ИСПДн, реализуя угрозу из другой сети или из другого сегмента ИСПДн. 6. Уровень эталонной модели взаимодействия открытых систем (ISO/OSI), на котором реализуется угроза. По этому признаку угроза может реализовываться на физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном уровне модели ISO/OSI. 7. Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза. По этому признаку угроза может быть отнесена к классу угроз, реализуемых одним нарушителем относительно одного технического средства ИСПДн (угроза «один к одному»), сразу относительно нескольких технических средств ИСПДн (угроза «один ко многим») или несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн (распределенные или комбинированные угрозы). С учетом проведенной классификации можно выделить семь наиболее часто реализуемых в настоящее время угроз. 1. Анализ сетевого трафика. Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель изучает логику работы сети – то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней, перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающим шифрование), ее подмены, модификации и т. п. 2. Сканирование сети. Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей. 3. Угроза выявления пароля. Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа. 4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа. Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т. д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т. п.), легально подключенный к серверу. Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения. Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений. Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПДн – цели угроз. 5. Навязывание ложного маршрута сети. Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение. 6. Внедрение ложного объекта сети. Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети. 7. Отказ в обслуживании. Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты. Могут быть выделены несколько разновидностей таких угроз: 1. а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу; 2. б) явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т. д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam); 3. в) явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации; 4. г) явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop», «Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую максимально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена. Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может «вместить» трафик (направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. 8. Удаленный запуск приложений. Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, «сетевые шпионы», основная цель которых – нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др. Выделяют три подкласса данных угроз: 1. распространение файлов, содержащих несанкционированный исполняемый код; 2. удаленный запуск приложения путем переполнения буфера приложений-серверов; 3. удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами. Типовые угрозы первого из указанных подклассов основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т. п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы. При угрозах второго подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля переполнения буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса». При угрозах третьего подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, «троянскими» программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети. Схематично основные этапы работы этих программ выглядят следующим образом: • инсталляция в памяти; • ожидание запроса с удаленного хоста, на котором запущена клиент-программа, и обмен с ней сообщениями о готовности; • передача перехваченной информации клиенту или предоставление ему контроля над атакуемым компьютером. Процесс реализации угрозы в общем случае состоит из четырех этапов: • сбора информации; • вторжения (проникновения в операционную среду); • осуществления несанкционированного доступа; • ликвидации следов несанкционированного доступа. На этапе сбора информации нарушителя могут интересовать различные сведения об ИСПДн, в том числе: 1. а) о топологии сети, в которой функционирует система; 2. б) о типе операционной системы (ОС) в ИСПДн; 3. в) о функционирующих на хостах сервисах. На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста. Если реализация угрозы не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИСПдн. На этапе реализации несанкционированного доступа осуществляется собственно достижение цели реализации угрозы. На этом же этапе, после указанных действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. «Черный вход» позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, «анализатор паролей». Наконец, на этапе ликвидации следов реализации угрозы осуществляется попытка уничтожения следов действий нарушителя. При этом удаляются соответствующие записи из всех возможных журналов аудита, в том числе записи о факте сбора информации. Характеристика угроз программно-математических воздействий Программно-математическое воздействие – это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций: • скрывать признаки своего присутствия в программной среде компьютера; • обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти; • разрушать (искажать произвольным образом) код программ в оперативной памяти; • выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирование, уничтожение, блокирование и т. п.); • сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных); • искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных. Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн. Современные вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения (системного, общего, прикладного) и разнообразных сетевых технологий, обладают широким спектром деструктивных возможностей (от несанкционированного исследования параметров ИСПДн без вмешательства в функционирование ИСПДн, до уничтожения ПДн и программного обеспечения ИСПДн) и могут действовать во всех видах программного обеспечения (системного, прикладного, в драйверах аппаратного обеспечения и т. д.). Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту. Основными деструктивными действиями, выполняемыми этими вирусами, являются: • уничтожение информации в секторах дискет и винчестера; • исключение возможности загрузки операционной системы (компьютер «зависает»); • искажение кода загрузчика; • форматирование дискет или логических дисков винчестера; • закрытие доступа к COM- и LPT-портам; • замена символов при печати текстов; • подергивания экрана; • изменение метки диска или дискеты; • создание псевдосбойных кластеров; • создание звуковых и (или) визуальных эффектов (например, падение букв на экране); • порча файлов данных; • перезагрузка компьютера; • вывод на экран разнообразных сообщений; • отключение периферийных устройств (например, клавиатуры); • изменение палитры экрана; • заполнение экрана посторонними символами или изображениями; • погашение экрана и перевод в режим ожидания ввода с клавиатуры; • шифрование секторов винчестера; • выборочное уничтожение символов, выводимых на экран при наборе с клавиатуры; • уменьшение объема оперативной памяти; • вызов печати содержимого экрана; • блокирование записи на диск; • уничтожение таблицы разбиения (Disk Partition Table), после этого компьютер можно загрузить только с флоппи-диска; • блокирование запуска исполняемых файлов; • блокирование доступа к винчестеру. Основными видами вредоносных программ являются: • программные закладки; • классические программные (компьютерные) вирусы; • вредоносные программы, распространяющиеся по сети (сетевые черви); • другие вредоносные программы, предназначенные для осуществления НСД. К программным закладкам относятся программы, фрагменты кода, инструкции, формирующие недекларированные возможности программного обеспечения. Вредоносные программы могут переходить из одного вида в другой, например, программная закладка может сгенерировать программный вирус, который, в свою очередь, попав в условия сети, может сформировать сетевого червя или другую вредоносную программу, предназначенную для осуществления НСД. Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Они внедряются в память компьютера при загрузке с инфицированного диска. После этого начинают выполняться инструкции вируса, который, как правило, уменьшает объем свободной памяти, копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем загрузочный вирус ведет себя так же, как файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия, вызывает звуковые эффекты или видеоэффекты. Большинство загрузочных вирусов перезаписывают себя на флоппи-диски. Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы. К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла. Вредоносными программами, обеспечивающими осуществление НСД, могут быть: • программы подбора и вскрытия паролей; • программы, реализующие угрозы; • программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн; • программы-генераторы компьютерных вирусов; • программы, демонстрирующие уязвимости средств защиты информации и др. В связи с усложнением и возрастанием разнообразия программного обеспечения число вредоносных программ быстро возрастает. Сегодня известно несколько сотен тысяч сигнатур компьютерных вирусов. Вместе с тем, далеко не все из них представляют реальную угрозу. Во многих случаях устранение уязвимостей в системном или прикладном программном обеспечении привело к тому, что ряд вредоносных программ уже не способен внедриться в них. Часто основную опасность представляют новые вредоносные программы. Характеристика нетрадиционных информационных каналов Нетрадиционный информационный канал – это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим. Для формирования нетрадиционных каналов могут использоваться методы: • компьютерной стеганографии; • основанные на манипуляции различных характеристик ИСПДн, которые можно получать санкционированно (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т. п.). Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов, основанных: • на использовании специальных свойств компьютерных форматов хранения и передачи данных; • на избыточности аудио-, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека. Наибольшее развитие и применение в настоящее время находят методы сокрытия информации в графических стегоконтейнерах. Это обусловлено сравнительно большим объемом информации, который можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления изображений. В настоящее время существует целый ряд как коммерческих, так и бесплатных программных продуктов, доступных обычному пользователю, реализующих известные стеганографические методы сокрытия информации. При этом преимущественно используются графические и аудиоконтейнеры. В нетрадиционных информационных каналах, основанных на манипуляции различных характеристик ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний. Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн: • на аппаратном уровне; • на уровне микрокодов и драйверов устройств; • на уровне операционной системы; • на уровне прикладного программного обеспечения; • на уровне функционирования каналов передачи данных и линий связи. Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т. п. Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала. Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД. Характеристика результатов несанкционированного или случайного доступа Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности: • нарушению конфиденциальности (копирование, неправомерное распространение); • нарушению целостности (уничтожение, изменение); • нарушению доступности (блокирование). Нарушение конфиденциальности может быть осуществлено в случае утечки информации: • копирования ее на отчуждаемые носители информации; • передачи ее по каналам передачи данных; • при просмотре или копировании ее в ходе ремонта, модификации и утилизации программно-аппаратных средств; • при «сборке мусора» нарушителем в процессе эксплуатации ИСПДн. Нарушение целостности информации осуществляется за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную) информацию, включающую: • микропрограммы, данные и драйвера устройств вычислительной системы; • программы, данные и драйвера устройств, обеспечивающих загрузку операционной системы; • программы и данные (дескрипторы, описатели, структуры, таблицы и т. д.) операционной системы; • программы и данные прикладного программного обеспечения; • программы и данные специального программного обеспечения; • промежуточные (оперативные) значения программ и данных в процессе их обработки (чтения/записи, приема/передачи) средствами и устройствами вычислительной техники. Нарушение целостности информации в ИСПДн может также быть вызвано внедрением в нее вредоносной программы программно-аппаратной закладки или воздействием на систему защиты информации или ее элементы. Кроме этого, в ИСПДн возможно воздействие на технологическую сетевую информацию, которая может обеспечивать функционирование различных средств управления вычислительной сетью: • конфигурацией сети; • адресами и маршрутизацией передачи данных в сети; • функциональным контролем сети; • безопасностью информации в сети. Нарушение доступности информации обеспечивается путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратуры или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратуры. Указанные действия могут привести к нарушению или отказу функционирования практически любых технических средств ИСПДн: • средств обработки информации; • средств ввода/вывода информации; • средств хранения информации; • аппаратуры и каналов передачи; • средств защиты информации. 4.2 Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» был утвержден ФСТЭК РФ 15 февраля 2008 года. Данный документ содержи систематизированный перечень угроз безопасности ПНд для информационных систем с различной структурой. В зависимости от целей и содержания обработки ПДн оператор может осуществлять обработку ПДн в ИСПДн различных типов. По структуре информационные системы подразделяются на автоматизированные рабочие места, локальные информационные системы и распределенные информационные системы. По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений. По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские. По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Российской Федерации, и системы, технические средства которых частично или целиком находятся за пределами Российской Федерации. В зависимости от технологий, состава и характеристик технических средств ИСПДн, а также опасности реализации УБПДн и наступления последствий в результате несанкционированного или случайного доступа можно выделит следующие типы ИСПДн: • автоматизированные рабочие места, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; • автоматизированные рабочие места, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; • локальные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; • локальные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; • распределенные ИСПДн, не имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена; • распределенные ИСПДн, имеющие подключение к сетям связи общего пользования и (или) сетям международного информационного обмена. Применительно к основным типам ИСПДн составляются типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации УБПДн. Частные модели угроз безопасности ПДн применительно к конкретным ИСПДн составляются операторами, заказчиками и разработчиками ИСПДн на этапах их создания и (или) эксплуатации. Типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн на автоматизированном рабочем месте, не имеющем подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угроз утечки информации по техническим каналам; • угроз НСД к ПДн, обрабатываемым в автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, возможно при наличием функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн. Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средства обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн. Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора. Угрозы НСД в автономном АРМ связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в АРМ могут быть аппаратные закладки и отчуждаемые носители вредоносных программ. В ИСПДн на базе автономного АРМ возможны все виды уязвимостей ИСПДн, за исключением уязвимостей, связанных с реализацией протоколов сетевого взаимодействия и каналов передачи данных. В таких ИСПДн возможны: • угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; • угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т. п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т. п.); • угрозы внедрения вредоносных программ. Типовая модель угроз безопасности персональных данных, обрабатываемых в автоматизированных рабочих местах, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн на автоматизированном рабочем месте, имеющем подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угрозы утечки информации по техническим каналам; • угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение УБПДн в рассматриваемых ИСПДн по техническим каналам характеризуется теми же условиями и факторами, что и для автоматизированного рабочего места, не имеющего подключения к сетям общего пользования и (или) сетям международного информационного обмена. Угрозы НСД в ИСПДн связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозы НСД в ИСПДн, связанные с действиями нарушителей, имеющих доступ к ИСПДн, аналогичны тем, которые имеют место для отдельного АРМ, не подключенного к сетям связи общего пользования. Угрозы из внешних сетей включают в себя: • угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; • угрозы сканирования, направленные на выявление типа операционной системы АРМ, открытых портов и служб, открытых соединений и др.; • угрозы выявления паролей; • угрозы получения НСД путем подмены доверенного объекта; • угрозы типа «Отказ в обслуживании»; • угрозы удаленного запуска приложений; • угрозы внедрения по сети вредоносных программ. Типовая модель угроз безопасности персональных данных, обрабатываемых в локальных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн в локальных ИСПДн, не имеющие подключения к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угрозы утечки информации по техническим каналам; • угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение УБПДн в рассматриваемых ИСПДн по техническим каналам характеризуется теми же условиями и факторами, что и для локальных ИСПДн, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена. Угрозы НСД в локальных ИСПДн связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Угрозы НСД в ИСПДн, связанные с действиями нарушителей, имеющих доступ к ИСПДн, аналогичны тем, которые имеют место для отдельного АРМ, не подключенного к сетям связи общего пользования. Кроме того, в такой ИСПДн могут иметь место: • угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации; • угрозы выявления паролей; • угрозы удаленного запуска приложений; • угрозы внедрения по сети вредоносных программ. Типовая модель угроз безопасности персональных данных обрабатываемых в локальных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн в локальных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угрозы утечки информации по техническим каналам; • угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение УБПДн в рассматриваемых ИСПДн по техническим каналам характеризуется теми же условиями и факторами, что и для предыдущих типов ИСПДн. Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн, включают в себя угрозы, аналогичные тем, которые реализуются в отдельном АРМ, не имеющем подключения к сетям связи общего пользования. Угрозы из внешних сетей включают в себя: • угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; • угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.; • угрозы выявления паролей; • угрозы получения НСД путем подмены доверенного объекта; • угрозы типа «Отказ в обслуживании»; • угрозы удаленного запуска приложений; • угрозы внедрения по сети вредоносных программ. Типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, не имеющих подключения к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн в распределенных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угрозы утечки информации по техническим каналам; • угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение УБПДн в рассматриваемых ИСПДн по техническим каналам характеризуется теми же условиями и факторами, что и для предыдущих типов ИСПДн. Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. При этом могут быть угрозы, аналогичные тем, которые имеют место в отдельном АРМ, не подключенном к сетям общего пользования, а также угрозы, реализуемые внутри распределенной сети с использованием протоколов межсетевого взаимодействия, в том числе: • угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации; • угрозы сканирования, направленные на выявление открытых портов и служб, открытых соединений и др.; • угрозы внедрения ложного объекта сети; • угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных; • угрозы выявления паролей; • угрозы типа «Отказ в обслуживании»; • угрозы удаленного запуска приложений; • угрозы внедрения по сети вредоносных программ. Типовая модель угроз безопасности персональных данных, обрабатываемых в распределенных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена При обработке ПДн в распределенных ИСПДн, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена, возможна реализация следующих УБПДн: • угрозы утечки информации по техническим каналам; • угрозы НСД к ПДн, обрабатываемым на автоматизированном рабочем месте. Угрозы утечки информации по техническим каналам включают в себя: • угрозы утечки акустической (речевой) информации; • угрозы утечки видовой информации; • угрозы утечки информации по каналу ПЭМИН. Возникновение УБПДн в рассматриваемых ИСПДн по техническим каналам характеризуется теми же условиями и факторами, что и для предыдущих типов ИСПДн. Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн, аналогичны тем, которые имеют место в распределенных ИСПДн, не имеющей подключения к сетям общего пользования. Кроме того, в такой ИСПДн имеют место угрозы, реализуемые с использованием протоколов межсетевого взаимодействия из внешних сетей, в том числе: • угрозы «Анализа сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой в ИСПДн из внешних сетей информации; • угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.; • угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях; • угрозы подмены доверенного объекта; • угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях; • угрозы выявления паролей; • угрозы типа «Отказ в обслуживании»; • угрозы удаленного запуска приложений; • угрозы внедрения по сети вредоносных программ. 4.3 Определение актуальности угроз в соответствии с методическими документами ФСТЭК России Порядок определения актуальности угроз безопасности персональных данных проводится в соответствии с документом «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», разработанном ФСТЭК России и утверждённом 14 февраля 2008 года. Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн. Подход к составлению перечня актуальных угроз состоит в оценке возможности реализации и оценке опасности каждой угрозы безопасности персональных данных, включаемых в перечень угроз. Некоторые оценки являются объективными и зависят от характеристик собственно ИСПДн. Другие оценки являются субъективными и получаются экспертным путём. В нормативных документа по защите персональных данных … Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы. Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Данный показатель определяется на основе следующей таблицы: Таблица 4.1 – Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий 1. По территориальному размещению: распределённая ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом     + городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)     + корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации   +   локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий   +   локальная ИСПДн, развернутая в пределах одного здания +     2. По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования     + ИСПДн, имеющая одноточечный выход в сеть общего пользования   +   ИСПДн, физически отделенная от сети общего пользования +     3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск +     запись, удаление, сортировка   +   модификация, передача     + 4. По разграничению доступа к персональным данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн   +   ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн     + ИСПДн с открытым доступом     + 5. По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)     + ИСПДн, в которой используется одна база ПДн, принадлежащая организации-владельцу данной ИСПДн +     6. По уровню (обезличивания) ПДн:       ИСПДн в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т. д.) +     ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации   +   ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т. е. присутствует информация, позволяющая идентифицировать субъекта ПДн)     + 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю БД с ПДн     + ИСПДн, предоставляющая часть ПДн   +   ИСПДн, не предоставляющие никакой информации +     Исходная степень защищенности определяется следующим образом. 1. ИСПДн имеет высокую степень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет среднюю степень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности. 3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2. При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент Y1 , а именно: • Y1 = 0 – для высокой степени исходной защищенности; • Y1 = 5 – для средней степени исходной защищенности; • Y1 = 10 – для низкой степени исходной защищенности. Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя: • маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся); • низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации); • средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны; • высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y2 , а именно: • Y2 = 0 – для маловероятной угрозы; • Y2 = 2  – для низкой вероятности угрозы; • Y2 = 5 – для средней вероятности угрозы; • Y2 = 10 – для высокой вероятности угрозы. С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением Y=Y1+Y220.Y=Y1+Y220. По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом: • если 0 <= Y <= 0,3, то возможность реализации угрозы признается низкой; • если 0,3 < Y <= 0,6, то возможность реализации угрозы признается средней; • если 0,6 < Y <= 0,8, то возможность реализации угрозы признается высокой; • если Y > 0,8, то возможность реализации угрозы признается очень высокой. Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения: • низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; • средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; • высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 4.2. Таблица 4.2 – Правила отнесения угрозы безопасности ПДн к актуальной Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная Окончательная схема определения актуальности угроз безопасности персональных данных выглядит следующим образом: Рис. 4.3 – Схема определения актуальности угроз безопасности ПДн С использованием данных об уровне защищенности персональных данных и составленного перечня актуальных угроз, на основе Приказа ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн. 4.4 Разработка модели нарушителя и модели угроз в соответствии с методическими документами ФСБ Одним из видов защиты информации является криптографическая защита. Средства криптографической защиты информации, такие как средства шифрования или средства электронной подписи, позволяют обеспечить конфиденциальность, целостность аутентичность информации. Однако, сами средства криптографической защиты информации используют собственную конфиденциальную информацию – ключи шифрования или ключи электронной подписи, раскрытие которой может привести к нарушению свойств безопасности информации, защищенной с помощью криптосредств. В информационных системах, использующих криптосредства для защиты информации, действия нарушителей могут быть направлены как непосредственно на защищаемую информацию, так и на ключи криптосредств. Данное обстоятельство приводит к необходимости пересмотра модели угроз, модели нарушителя с учётом возможности нарушения безопасности персональных данных за счёт воздействия на криптосредства. Федеральной службой безопасности 21 февраля 2008 года был утвержден нормативно-правовой документ «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (далее – Методические рекомендации), описывающий порядок построения модели угроз и модели нарушителя при использовании криптосредств в составе системы защиты персональных данных. Методическими рекомендациями необходимо руководствоваться в случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств (за исключением случая, когда оператором является физическое лицо, использующее персональные данные исключительно для личных и семейных нужд), а также при обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России (например, при обработке персональных данных в государственных информационных системах). В соответствии с Постановлением Правительства №1119, безопасность персональных данных при их обработке в информационной системе обеспечивается с помощью системы защиты персональных данных, нейтрализующей актуальные угрозы. Необходимым условием разработки системы защиты персональных данных является формирование модели угроз безопасности персональных данных. Так же модель угроз необходима для определения уровня защищенности персональных данных, который необходимо обеспечить в ИСПДн. В случае обеспечения безопасности персональных данных без использования криптосредств при формировании модели угроз используются методические документы ФСТЭК России. В случае определения оператором необходимости обеспечения безопасности персональных данных с использованием криптосредств при формировании модели угроз используются методические документы ФСТЭК России и Методические рекомендации ФСБ. При этом из двух содержащихся в документах ФСТЭК России и Методических рекомендациях однотипных угроз выбирается более опасная. По согласованию с ФСТЭК России и ФСБ России допускается формирование модели угроз только на основании настоящих Методических рекомендаций ФСБ. При обеспечении безопасности персональных данных при обработке в информационных системах, отнесенных к компетенции ФСБ России, модели угроз формируются только на основании настоящих Методических рекомендаций. В случае использования в информационной системе криптосредств при необходимости к формированию модели угроз могут привлекаться лицензиаты ФСБ России, являющиеся разработчиками криптосредств или специализированными организациями, проводящими тематические исследования криптосредств. МЕТОДОЛОГИЯ ФОРМИРОВАНИЯ МОДЕЛИ УГРОЗ Различают модель угроз верхнего уровня и детализированную модель угроз. Модель угроз верхнего уровня предназначена для определения характеристик безопасности защищаемых персональных данных и других объектов защиты. Эта модель также определяет исходные данные для детализированной модели угроз. Детализированная модель угроз предназначена для определения требуемого уровня криптографической защиты. Методология формирования модели угроз верхнего уровня Формирование модели угроз верхнего уровня осуществляется на этапе сбора и анализа исходных данных по информационной системе в рамках предпроектного обследования. Для правильного определения криптосредств, необходимых для обеспечения безопасности персональных данных, дополнительно к данному этапу предъявляются следующие требования. Определение условий создания и использования персональных данных: Должны быть описаны условия создания и использования персональных данных. Для этого определяются: • субъекты, создающие персональные данные (в качестве такого субъекта может выступать лицо или его представитель в виде программного или технического средства); • субъекты, которым персональные данные предназначены; • правила доступа к защищаемой информации; • информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных; • используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства. Степень детализации описания должна быть достаточной для выполнения остальных требований к этапу сбора и анализа исходных данных по информационной системе. Описание форм представления персональных данных: Персональные данные имеют различные формы представления (формы фиксации) с учетом используемых в информационной системе информационных технологий и технических средств. Необходимо дать описание этих форм представления (форм фиксации) персональных данных. К таким формам относятся области оперативной памяти, файлы, записи баз данных, почтовые отправления и т. д. Описание информации, сопутствующей процессам создания и использования персональных данных: На основе анализа условий создания и использования персональных данных должна быть определена информация, сопутствующая процессам создания и использования персональных данных. При этом представляет интерес только та информация, которая может быть объектом угроз и потребует защиты. К указанной информации, в частности, относится: • ключевая, аутентифицирующая и парольная информация криптосредства; • криптографически опасная информация (КОИ); • конфигурационная информация; • управляющая информация; • информация в электронных журналах регистрации; • побочные сигналы, которые возникают в процессе функционирования технических средств и в которых полностью или частично отражаются персональные данные или другая защищаемая информация; • резервные копии файлов с защищаемой информацией, которые могут создаваться в процессе обработки этих файлов; • остаточная информация на носителях информации. В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенными выше примерами информации, сопутствующей процессам создания и использования персональных данных. Разработчики модели угроз – специалисты в области защиты информации могут уточнить указанный выше перечень информации, сопутствующей процессам создания и использования персональных данных, с приведением соответствующих обоснований. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства. Уточнение перечня информации, сопутствующей процессам создания и использования персональных данных, должно осуществляться путем: • исключения типов рассматриваемой информации из указанного выше перечня, которые являются избыточными в силу специфики конкретной информационной системы; • конкретизации и детализации не исключенных типов рассматриваемой информации с учетом конкретных условий эксплуатации информационной системы; • описания типов рассматриваемой информации, не указанных в приведенном выше перечне. Определение характеристик безопасности: Необходимо определить характеристики безопасности не только персональных данных, но и характеристики безопасности всех объектов, которые были определены как возможные объекты угроз. Основными (классическими) характеристиками безопасности являются конфиденциальность, целостность и доступность. В дополнение к перечисленным выше основным характеристикам безопасности могут рассматриваться также и другие характеристики безопасности. В частности, к таким характеристикам относятся неотказуемость, учетность (иногда в качестве синонима используется термин «подконтрольность»), аутентичность (иногда в качестве синонима используется термин «достоверность») и адекватность. Приведенный список характеристик безопасности не является исчерпывающим. Возможность большого числа характеристик безопасности кроется в определении понятия «характеристика безопасности объекта»: характеристика безопасности объекта – требование к объекту или к условиям его создания и существования, или к информации об объекте и условиях его создания и существования, выполнение которого необходимо для обеспечения защищенности жизненно важных интересов личности, общества или государства. Как правило, условия создания и существования реальных объектов достаточно сложны и, как следствие, к ним можно предъявить достаточно много самых различных требований. Так как угроза безопасности объекта – возможное нарушение характеристики безопасности объекта, то перечень всех характеристик безопасности для всех возможных объектов угроз, по сути, определяет модель угроз верхнего уровня. Например, если в информационной системе требуется обеспечить только защиту от уничтожения, целостность и доступность защищаемой информации (в качестве возможного примера такой информационной системы можно привести информационную систему школьного учителя, содержащую общедоступные персональные данные учащихся), то модель угроз верхнего уровня содержит следующий перечень угроз: • угроза уничтожения защищаемой информации; • угроза нарушения целостности защищаемой информации; • угроза нарушения доступности защищаемой информации. Методология формирования детализированной модели угроз Согласно приведенному в Законе Российской Федерации «О безопасности» определению понятия «угроза безопасности» необходимо определить совокупность условий и факторов, создающих опасность нарушения характеристик безопасности возможных объектов угроз. Это и есть содержание работ по созданию детализированной модели угроз. Можно привести примеры, когда целесообразно создание моделей угроз нескольких уровней детализации. Очевидным примером может служить объект угроз, представляющий сложную территориально распределенную автоматизированную систему, для которой условия функционирования различных составных частей системы могут существенно различаться. При анализе такой системы, как правило, используется принцип декомпозиции сложного объекта. Если же составные части системы также весьма сложны, то их анализ снова потребует использование принципа декомпозиции сложного объекта. В рассматриваемом случае целесообразно создание моделей угроз для каждого объекта, получающегося в процессе декомпозиции. При определении угроз безопасности объекта следует различать: • угрозы, не являющиеся атакой; • атаки. Рекомендуется использовать следующую структуру угроз, не являющихся атаками: • угрозы, не связанные с деятельностью человека: стихийные бедствия и природные явления (землетрясения, наводнения, ураганы и т. д.); • угрозы социально-политического характера: забастовки, саботаж, локальные конфликты и т. д.; • ошибочные действия и (или) нарушения тех или иных требований лицами, санкционировано взаимодействующими с возможными объектами угроз. Если, например, в качестве объекта угроз выступает автоматизированная система в защищенном исполнении (АСЗИ), то к таким действиям и нарушениям, в частности, относятся: • непредумышленное искажение или удаление программных компонентов АСЗИ; • внедрение и использование неучтенных программ; • игнорирование организационных ограничений (установленных правил) при работе с ресурсами АСЗИ, включая средства защиты информации. В частности: • нарушение правил хранения информации ограниченного доступа, используемой при эксплуатации средств защиты информации (в частности, ключевой, парольной и аутентифицирующей информации); • предоставление посторонним лицам возможности доступа к средствам защиты информации, а также к техническим и программным средствам, способным повлиять на выполнение предъявляемых к средствам защиты информации требований; • настройка и конфигурирование средств защиты информации, а также технических и программных средств, способных повлиять на выполнение предъявляемых к средствам защиты информации требований, в нарушение нормативных и технических документов; • несообщение о фактах утраты, компрометации ключевой, парольной и аутентифицирующей информации, а также любой другой информации ограниченного доступа; • угрозы техногенного характера, основными из которых являются: ◦ аварии (отключение электропитания, системы заземления, разрушение инженерных сооружений и т. д.); ◦ неисправности, сбои аппаратных средств, нестабильность параметров системы электропитания, заземления и т. д.; ◦ помехи и наводки, приводящие к сбоям в работе аппаратных средств. Следует отметить, что, как правило, защита от угроз, не являющихся атаками, в основном регламентируется инструкциями, разработанными и утвержденными операторами с учетом особенностей эксплуатации информационных систем и действующей нормативной базы. Как показал мировой и отечественный опыт, атаки являются наиболее опасными угрозами, что обусловлено их тщательной подготовкой, скрытностью проведения, целенаправленным выбором объектов и целей атак. Атаки готовятся и проводятся нарушителем, причем возможности проведения атак обусловлены возможностями нарушителя. Иными словами, конкретные возможности нарушителя определяют конкретные атаки, которые может провести нарушитель. Но тогда с учетом определения понятия «модель нарушителя» все возможные атаки определяются моделью нарушителя. Модель нарушителя тесно связана с моделью угроз и, по сути, является ее частью. Смысловые отношения между ними следующие. В модели угроз содержится максимально полное описание угроз безопасности объекта. Модель нарушителя содержит описание предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности. Методология формирования модели нарушителя Нарушитель может действовать на различных этапах жизненного цикла криптосредства СФК (среда функционирования криптосредства) (под этими этапами в настоящем документе понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредств и СФК). Этапы разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК обработка персональных данных не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них. В связи с изложенным на указанных этапах возможны следующие атаки: • внесение негативных функциональных возможностей в технические и программные компоненты криптосредства и СФК, в том числе с использованием вредоносных программ (компьютерные вирусы, «троянские кони» и т. д.); • внесение несанкционированных изменений в документацию на криптосредство и технические и программные компоненты СФК. Необходимо отметить, что указанные атаки: • на этапах разработки, производства и транспортировки технических и программных средств криптосредства и СФК могут проводиться только вне зоны ответственности оператора; • на этапе хранения технических и программных средств криптосредства и СФК могут проводиться как в зоне, так и вне зоны ответственности оператора; • на этапе ввода в эксплуатацию технических и программных средств криптосредства и СФК могут проводиться в зоне ответственности оператора. В связи с изложенным операторы должны предусмотреть меры контроля: • соответствия технических и программных средств криптосредства и СФК и документации на эти средства, поступающих в зону ответственности оператора, эталонным образцам (например, оператор должен требовать от поставщиков гарантий соответствия технических и программных средств криптосредства и СФК и документации на эти средства, поступающих в зону ответственности оператора, эталонным образцам или механизмы контроля, позволяющие оператору установить самостоятельно такое соответствие); • целостности технических и программных средств криптосредства и СФК и документации на эти средства в процессе хранения и ввода в эксплуатацию этих средств (с использованием как механизмов контроля, описанных в документации, например, на криптосредство, так и с использованием организационных и организационно-технических мер, разработанных оператором с учетом требований соответствующих нормативных и методических документов, – см. п. 2.1 Методических рекомендаций). Этап эксплуатации технических и программных средств криптосредства и СФК Атака как любое целенаправленное действие характеризуется рядом существенных признаков. К этим существенным признакам на этапе эксплуатации технических и программных средств криптосредства и СФК вполне естественно можно отнести: • нарушителя – субъекта атаки; • объект атаки; • цель атаки; • имеющуюся у нарушителя информацию об объекте атаки; • имеющиеся у нарушителя средства атаки; • канал атаки. Возможные объекты атак и цели атак определяются на этапе формирования модели угроз верхнего уровня. При определении объектов атак, в частности, должны быть рассмотрены как возможные объекты атак и при необходимости конкретизированы с учетом используемых в информационной системе информационных технологий и технических средств следующие объекты: • документация на криптосредство и на технические и программные компоненты СФК; • защищаемые персональные данные; • ключевая, аутентифицирующая и парольная информация; • криптографически опасная информация (КОИ); • криптосредство (программные и аппаратные компоненты криптосредства); • технические и программные компоненты СФК; • данные, передаваемые по каналам связи; • помещения, в которых находятся защищаемые ресурсы информационной системы. В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенными выше примерами возможных объектов атак. Разработчики модели угроз – специалисты в области защиты информации могут уточнить указанный выше перечень возможных объектов атак с приведением соответствующих обоснований. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства. Уточнение перечня возможных объектов атак должно осуществляться путем: • исключения объектов атак из указанного выше перечня, которые являются избыточными в силу специфики конкретной информационной системы; • конкретизации и детализации не исключенных объектов атак с учетом конкретных условий эксплуатации информационной системы; • описания объектов атак, не указанных в приведенном выше перечне. С учетом изложенного модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК должна иметь следующую структуру: • описание нарушителей (субъектов атак); • предположения об имеющейся у нарушителя информации об объектах атак; • предположения об имеющихся у нарушителя средствах атак; • описание каналов атак. Описание нарушителей (субъектов атак) 1. Различают шесть основных типов нарушителей: Н1, Н2, ... , Н6. Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК. Возможности нарушителя типа Нi+1 включают в себя возможности нарушителя типа Нi (1 <= i <= 5). Если внешний нарушитель обладает возможностями по созданию способов подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Нi (2 <= i <= 6). 2. Данный раздел модели нарушителя должен содержать: • перечень лиц, которые не рассматриваются в качестве потенциальных нарушителей, и обоснование этого перечня (при необходимости); • предположение о невозможности сговора нарушителей (для всех типов нарушителей) или предположения о возможном сговоре нарушителей и о характере сговора, включая перечисление дополнительных возможностей, которые могут использовать находящиеся в сговоре нарушители для подготовки и проведения атак (для нарушителей типа Н4 – Н6). Данный раздел модели нарушителя имеет следующее типовое содержание. Сначала все физические лица, имеющие доступ к техническим и программным средствам информационной системы, разделяются на следующие категории: • категория I – лица, не имеющие права доступа в контролируемую зону информационной системы; • категория II – лица, имеющие право постоянного или разового доступа в контролируемую зону информационной системы. Далее все потенциальные нарушители подразделяются на: • внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны информационной системы; • внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны информационной системы. Констатируется, что: • внешними нарушителями могут быть как лица категории I, так и лица категории II; • внутренними нарушителями могут быть только лица категории II. Дается описание привилегированных пользователей информационной системы (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных средств криптосредства и СФК, включая их настройку, конфигурирование и распределение ключевой документации между непривилегированными пользователями. Далее следует обоснование исключения тех или иных типов лиц категории II из числа потенциальных нарушителей. Как правило, привилегированные пользователи информационной системы исключаются из числа потенциальных нарушителей. И, наконец, рассматривается вопрос о возможном сговоре нарушителей. Предположения об имеющейся у нарушителя информации об объектах атак Данный раздел модели нарушителя должен содержать: • предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация; • обоснованные ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они нарушителю недоступны). Примечание. Обоснованные ограничения на степень информированности нарушителя могут существенно снизить требования к криптосредству при его разработке. При определении ограничений на степень информированности нарушителя, в частности, должны быть рассмотрены следующие сведения: • содержание технической документации на технические и программные компоненты СФК; • долговременные ключи криптосредства; • все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т. п.); • сведения о линиях связи, по которым передается защищаемая информация; • все сети связи, работающие на едином ключе; • все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК; • все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК; • сведения, получаемые в результате анализа любых сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель. Только нарушителям типа Н3 – Н6 могут быть известны все сети связи, работающие на едином ключе. Только нарушители типа Н5 – Н6 располагают наряду с доступными в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного программного обеспечения. Только нарушители типа Н6 располагают всей документацией на криптосредство и СФК. В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться приведенным выше предположением о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак. Разработчики модели угроз – специалисты в области защиты информации могут подготовить обоснованные ограничения на степень информированности нарушителя. Рекомендуется указанное ограничение делать только в случае необходимости разработки нового типа криптосредства. Предположения об имеющихся у нарушителя средствах атак Данный раздел модели нарушителя должен содержать: • предположение о том, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства, возможности которых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну; • обоснованные ограничения на имеющиеся у нарушителя средства атак. Примечание. Обоснованные ограничения на имеющиеся у нарушителя средства атак могут существенно снизить требования к криптосредству при его разработке. При определении ограничений на имеющиеся у нарушителя средства атак, в частности, должны быть рассмотрены: • аппаратные компоненты криптосредства и СФК; • доступные в свободной продаже технические средства и программное обеспечение; • специально разработанные технические средства и программное обеспечение; • штатные средства. Нарушители типа Н1 и Н2 располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК. Дополнительные возможности нарушителей типа Н3 – Н5 по получению аппаратных компонент криптосредства и СФК зависят от реализованных в информационной системе организационных мер. Нарушители типа Н6 располагают любыми аппаратными компонентами криптосредства и СФК. Нарушители типа Н1 могут использовать штатные средства только в том случае, если они расположены за пределами контролируемой зоны. Возможности нарушителей типа Н2 – Н6 по использованию штатных средств зависят от реализованных в информационной системе организационных мер. Нарушители типа Н4 – Н6 могут проводить лабораторные исследования криптосредств, используемых за пределами контролируемой зоны информационной системы. В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше средствами атак. Разработчики модели угроз – специалисты в области защиты информации могут уточнить приведенный выше перечень средств атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства. Описание каналов атак С практической точки зрения этот раздел является одним из важнейших в модели нарушителя. Его содержание по существу определяется качеством формирования модели угроз верхнего уровня. Основными каналами атак являются: • каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от НСД к информации организационно-техническими мерами; • штатные средства. Возможными каналами атак, в частности, могут быть: • каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический); • машинные носители информации; • носители информации, выведенные из употребления; • технические каналы утечки; • сигнальные цепи; • цепи электропитания; • цепи заземления; • канал утечки за счет электронных устройств негласного получения информации; • информационные и управляющие интерфейсы СВТ. В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше основными каналами атак. Разработчики модели угроз – специалисты в области защиты информации могут уточнить приведенный выше перечень каналов атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства. Определение типа нарушителя Нарушитель относится к типу Нi если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Нi , и нет предположений, относящихся только к нарушителям типа Нj (j > i). Нарушитель относится к типу Н6 в информационных системах, в которых обрабатываются наиболее важные персональные данные, нарушение характеристик безопасности которых может привести к особо тяжелым последствиям. Рекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать модель нарушителя с ФСБ России.