АДМИНИСТРАЦИЯ СМОЛЕНСКОЙ ОБЛАСТИ
П О С Т А Н О В Л Е Н И Е
от 19.01.2018 № 15
Об определении угрозбезопасности персональных данных, актуальных при обработке персональных данныхв информационных системах персональных данных органов исполнительной властиСмоленской области и подведомственных им учреждений
В соответствии с частью 5 статьи 19 Федеральногозакона «О персональных данных», Концепцией защиты информации на территорииСмоленской области на период 2014 – 2020 годов, утвержденной постановлением АдминистрацииСмоленской области от 11 декабря 2014 года № 848, в целях обеспеченияединого подхода к определению угроз безопасности персональных данных,актуальных при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Смоленской области иподведомственных им учреждений,
Администрация Смоленской области п о с т а н о в л я е т:
1. Определить угрозы безопасности персональных данных,актуальные при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Смоленской области иподведомственных им учреждений, согласно приложению к настоящему постановлению.
2. Органам исполнительной власти Смоленской области иподведомственным им учреждениям:
2.1. Определить угрозы безопасности персональныхданных, актуальные при обработке персональных данных в используемых имиинформационных системах персональных данных.
2.2. При определении угроз безопасности персональныхданных, актуальных при обработке персональных данных в используемых имиинформационных системах персональных данных, руководствоваться настоящимпостановлением.
3. Рекомендовать органам местного самоуправлениямуниципальных образований Смоленской области руководствоваться настоящимпостановлением при определении угроз безопасности персональных данных,актуальных при обработке персональных данных в используемых ими информационныхсистемах персональных данных.
Губернатор
Смоленскойобласти А.В. Островский
Приложение
кпостановлению Администрации
Смоленскойобласти
от19.01.2018 № 15
УГРОЗЫБЕЗОПАСНОСТИ
персональныхданных, актуальные при обработке персональных данных в информационных системахперсональных данных органов исполнительной власти Смоленской области иподведомственных им учреждений
1. Общиеположения
1.1. Угрозыбезопасности персональных данных, актуальные при обработке персональных данныхв информационных системах персональных данных органов исполнительной властиСмоленской области и подведомственных им учреждений (далее также – актуальныеугрозы), определены в соответствии с частью 5 статьи 19 Федерального закона «Оперсональных данных».
1.2. Подугрозами безопасности персональных данных при их обработке в информационныхсистемах персональных данных (далее также – ИСПДн )понимается совокупность условий и факторов, создающих опасностьнесанкционированного, в том числе случайного, доступа к персональным данным,результатом которого могут стать уничтожение, изменение, блокирование,копирование, предоставление, распространение персональных данных, а также иныенеправомерные действия при их обработке в информационной системе персональныхданных (нарушение конфиденциальности, целостности и доступности обрабатываемыхперсональных данных).
1.3. Вкачестве источников угроз безопасности персональных данных могут выступатьсубъекты (физические лица, организации) или явления (техногенные аварии,стихийные бедствия, иные природные явления). При этом источники угрозбезопасности персональных данных могут быть следующих типов:
- антропогенныеисточники (антропогенные угрозы);
- техногенныеисточники (техногенные угрозы);
- стихийныеисточники (угрозы стихийных бедствий, иных природных явлений).
Источниками антропогенных угрозбезопасности персональных данных могут выступать:
- лица,осуществляющие преднамеренные действия с целью доступа к персональным данным(воздействия на персональные данные), содержащимся (содержащиеся) в ИСПДн, или нарушения функционирования ИСПДнили обслуживающей ее инфраструктуры (преднамеренные угрозы безопасностиперсональных данных);
- лица,имеющие доступ к ИСПДн, непреднамеренные действиякоторых могут привести к нарушению безопасности персональных данных(непреднамеренные угрозы безопасности персональных данных).
Преднамеренныеугрозы безопасности персональных данных могут быть реализованы за счет утечкиперсональных данных по техническим каналам (технические каналы утечкиинформации, обрабатываемой в технических средствах ИСПДн,технические каналы перехвата информации при ее передаче по каналам (линиям)связи, технические каналы утечки акустической (речевой) информации) либо засчет несанкционированного доступа.
1.4. Актуальныеугрозы содержат перечень актуальных угроз безопасности персональных данных,которые могут быть реализованы в типовых ИСПДн,эксплуатируемых при осуществлении соответствующих видов деятельности, с учетомсодержания персональных данных, характера и способов их обработки, а такжесодержат совокупность предположений о возможностях, которые могут использоватьсяпри создании способов, подготовке и проведении атак длярассматриваемых типов ИСПДн, в случае применения в ИСПДн средств криптографической защиты информации (далеетакже – СКЗИ).
Актуальныеугрозы устанавливают единый подход к определению угроз безопасностиперсональных данных, актуальных при обработке персональных данных в ИСПДн, и разработке на их основе частных моделей угрозбезопасности персональных данных (далее – частные модели угроз) для этих ИСПДн.
1.5. Приопределении актуальных угроз использованы:
- Федеральныйзакон «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон «О персональных данных»;
- постановление Правительства Российской Федерации от21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечениевыполнения обязанностей, предусмотренных Федеральным законом«О персональных данных» и принятыми в соответствии с ним нормативнымиправовыми актами, операторами, являющимися государственными или муниципальнымиорганами»;
- постановление Правительства Российской Федерации от01.11.2012 № 1119 «Об утверждении требований к защите персональных данныхпри их обработке в информационных системах персональных данных»;
- постановление Администрации Смоленской области от28.07.2003 № 190 «О Комиссии по информационной безопасности при АдминистрацииСмоленской области»;
- постановление Администрации Смоленской области от11.12.2014 № 848 «Об утверждении Концепции защиты информации на территорииСмоленской области на период 2014 – 2020 годов»;
- постановление Администрации Смоленской области от20.07.2015 № 424 «О порядке использования распределенной мультисервисной сети связи и передачи данных органовисполнительной власти Смоленской области и органов местного самоуправлениямуниципальных образований Смоленской области»;
- базовая модель угроз безопасности персональныхданных при их обработке в информационных системах персональных данных,утвержденная заместителем директора Федеральной службы по техническому иэкспортному контролю 15.02.2008;
- Методика определения актуальных угроз безопасностиперсональных данных при их обработке в информационных системах персональныхданных, утвержденная заместителем директора Федеральной службы по техническомуи экспортному контролю 14.02.2008;
- методические рекомендации по разработке нормативныхправовых актов, определяющих угрозы безопасности персональных данных,актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видовдеятельности, утвержденные руководством 8 Центра Федеральной службыбезопасности Российской Федерации 31.03.2015 № 149/7/2/6-432.
1.6. Актуальныеугрозы безопасности персональных данных определяются по результатам оценкивозможностей нарушителей, уровня исходной защищенности ИСПДн,анализа возможных способов реализации угроз безопасности персональных данных ипоследствий нарушения свойств безопасности персональных данных.
1.7. Источникамиданных об угрозах безопасности информации, на основе которых определяются актуальныеугрозы, являются:
- банк данных угроз безопасности информацииФедеральной службы по техническому и экспортному контролю (http://bdu.fstec.ru);
- базовая модель угроз безопасности персональныхданных при их обработке в информационных системах персональных данных,утвержденная заместителем директора Федеральной службы по техническому иэкспортному контролю 15.02.2008;
- методические рекомендации по разработке нормативныхправовых актов, определяющих угрозы безопасности персональных данных,актуальные при обработке персональных данных в информационных системахперсональных данных, эксплуатируемых при осуществлении соответствующих видовдеятельности, утвержденные руководством 8 Центра Федеральной службыбезопасности Российской Федерации 31.03.2015 № 149/7/2/6-432.
Вкачестве источника данных об угрозах безопасности персональных данных,актуальных при обработке персональных данных в ИСПДнорганов исполнительной власти Смоленской области и подведомственных имучреждений, используются актуальные угрозы.
1.8. Определениеугроз безопасности персональных данных, актуальных при обработке персональныхданных в ИСПДн, осуществляется органамиисполнительной власти Смоленской области и подведомственными им учреждениями, вслучае если они являются операторами ИСПДн (далее –операторы).
Определениеугроз безопасности персональных данных, актуальных при обработке персональныхданных в ИСПДн, является обязательным и оформляетсядокументально в виде частной модели угроз, которая утверждается руководителемоператора.
Частнаямодель угроз должна содержать:
- описание ИСПДн иособенностей ее функционирования, в том числе цель и задачи, решаемыепосредством ИСПДн, структурно-функциональныехарактеристики ИСПДн (тип, к которому отнесена ИСПДн), физические и логические границы ИСПДн,применяемые в ней информационные технологии, сегменты ИСПДни их типизацию, взаимосвязи между сегментами ИСПДн идругими информационными системами и информационно-телекоммуникационными сетями,в том числе информационно-телекоммуникационной сетью «Интернет» (далее – сеть«Интернет»), описание технологий обработки информации в ИСПДн,информацию о возможных уязвимостях ИСПДн;
- границы контролируемой зоны (контролируемых зонотдельных сегментов) ИСПДн;
- категории и объем обрабатываемых персональныхданных, а также тип актуальных угроз безопасности персональных данных и уровеньзащищенности персональных данных;
- обеспечиваемые характеристики безопасностиобрабатываемых персональных данных (конфиденциальность, целостность,доступность) и последствия нарушения указанных характеристик;
- исходный уровень защищенности ИСПДн;
- возможности нарушителей, в том числе типы и видынарушителей, возможные цели и потенциал нарушителей;
- возможные способы реализации угроз безопасностиперсональных данных;
- обоснование необходимости (или отсутствия таковой)применения для обеспечения безопасности персональных данных СКЗИ,а также угрозы безопасности информации, актуальные в случае применения СКЗИ;
- актуальные угрозы безопасности персональных данных.
Разработкачастной модели угроз осуществляется оператором самостоятельно и (или) спривлечением юридических лиц или индивидуальных предпринимателей, имеющихлицензию на осуществление деятельности по технической защите конфиденциальнойинформации, в соответствии с требованиями федерального законодательства и собязательным использованием актуальных угроз. Актуальные угрозы подлежатадаптации операторами в ходе определения угроз безопасности персональныхданных, актуальных при обработке персональных данных в ИСПДн,с учетом структурно-функциональных характеристик, применяемых информационныхтехнологий или особенностей функционирования ИСПДн.
1.9. Вслучае если оператором принято решение о применении СКЗИдля обеспечения безопасности персональных данных в ИСПДн,то при определении угроз безопасности персональных данных, актуальных приобработке персональных данных в данной ИСПДн,оператор дополнительно формирует совокупность предположений о возможностях,которые могут использоваться при создании способов, подготовке и проведении атак.
1.10. Согласование операторами угроз безопасностиперсональных данных, актуальных при обработке персональных данных в ИСПДн, а также частных моделей угроз, разработанных сиспользованием актуальных угроз, с федеральным органом исполнительной власти,уполномоченным в области обеспечения безопасности, и федеральным органомисполнительной власти, уполномоченным в области противодействия техническимразведкам и технической защиты информации, не требуется.
1.11. Актуальныеугрозы подлежат пересмотру по решению Комиссии по информационной безопасностипри Администрации Смоленской области, а также в случае:
- изменения федерального законодательства в частиопределения угроз безопасности персональных данных, актуальных при их обработкев ИСПДн;
- появления новых угроз в используемых источникахданных об угрозах безопасности информации, которые будут актуальными длярассматриваемых типов ИСПДн;
- изменения структурно-функциональных характеристик,применяемых информационных технологий или особенностей функционирования ИСПДн, следствием которого стало возникновение новыхактуальных угроз безопасности персональных данных;
- повышения возможности реализации или опасностисуществующих угроз безопасности персональных данных;
- появления сведений и фактов о новых возможностяхнарушителей.
2. Описаниеинформационных систем персональных данных и
особенностей ихфункционирования
2.1. Операторыэксплуатируют ИСПДн при осуществлении деятельности,связанной с реализацией служебных или трудовых отношений, а также в связи соказанием государственных услуг и осуществлением государственных функций.
2.2. ВИСПДн обрабатываются персональные данные различныхкатегорий и объема, которые принадлежат субъектам персональных данных,являющимся как сотрудниками оператора, так и иными лицами.
Взависимости от состава и объема обрабатываемых персональных данных, а такжетипа актуальных угроз безопасности персональных данных, приведенного в пункте4.2 раздела 4 актуальных угроз, в соответствии с пунктами 8 – 12 требований кзащите персональных данных при их обработке в информационных системахперсональных данных, утвержденных постановлением Правительства РоссийскойФедерации от 01.11.2012 № 1119,в ИСПДн необходимо обеспечение не выше чем второгоуровня защищенности персональных данных.
Категория и объем обрабатываемых в ИСПДн персональных данных, а также уровень защищенностиперсональных данных для этих ИСПДн определяются ихоператорами, оформляются актом классификации ИСПДн иутверждаются руководителем оператора.
2.3. Взависимости от характера и способов обработки персональных данных операторыосуществляют их обработку в ИСПДн, которые имеютразличную структуру (разноплановые ИСПДн).
Поструктуре ИСПДн подразделяются на автоматизированныерабочие места, локальные информационные системы и распределенные информационныесистемы.
Поналичию подключений к сетям связи общего пользования и (или) сетяммеждународного информационного обмена, в том числе к сети «Интернет», ИСПДн подразделяются на системы, имеющие подключения, исистемы, не имеющие подключений.
Порежиму обработки информации ИСПДн подразделяются наоднопользовательские и многопользовательские.
Поразграничению прав доступа пользователей ИСПДнподразделяются на системы без разграничения прав доступа и системы сразграничением прав доступа.
2.4. ВИСПДн могут применяться технологии виртуализации,клиент (файл)-серверные технологии, виртуальные частные сети (VPN), удаленный доступ, веб-технологии, кластеризация,сегментирование. При этом в ИСПДн не применяютсятехнологии автоматизации управления технологическим процессом, облачныетехнологии, технологии больших данных, беспроводные сети связи, мобильныеустройства, суперкомпьютеры и грид-вычисления,посредством которых могут возникнуть дополнительные угрозы безопасностиперсональных данных.
Фактприменения (использования) каждой из таких информационных технологий илиструктурно-функциональных характеристик в ИСПДндолжен быть отражен оператором в частной модели угроз.
2.5. Особенностьюэксплуатации ИСПДн в органах исполнительной властиСмоленской области и подведомственных им учреждениях является использованиеединой информационно-телекоммуникационной инфраструктуры – распределенной мультисервисной сети связи и передачи данных органовисполнительной власти Смоленской области и органов местного самоуправлениямуниципальных образований Смоленской области (далее – РМССО), сегментированной на территориальном, канальном и логическом уровнях,имеющей централизованное управление, систему мониторинга и оповещения окритических событиях, одноточечное подключение к сетям связи общего пользованияи сети «Интернет». Содержание и порядок использования РМССО, условия и порядок подключения органов исполнительной власти Смоленскойобласти, органов местного самоуправления муниципальных образований Смоленскойобласти, иных органов государственной власти и организаций к РМС СО, размещения информационных систем в РМС СО и обеспечения их безопасности определены Положениемо РМС СО, утвержденным постановлением АдминистрацииСмоленской области от 20.07.2015 № 424.
2.6. Техническиесредства ИСПДн находятся в пределах РоссийскойФедерации. Контролируемой зоной ИСПДн являютсяадминистративные здания или отдельные помещения операторов. В пределахконтролируемой зоны находятся рабочие места пользователей, серверное оборудование,а также сетевое и телекоммуникационное оборудование ИСПДн.Вне контролируемой зоны могут находиться линии передачи данных ителекоммуникационное оборудование, используемое для информационного обмена посетям связи. Неконтролируемое пребывание посторонних лиц и неконтролируемыйвынос за пределы зданий технических средств ИСПДнисключены.
2.7. Помещения,в которых ведется обработка персональных данных (далее – помещения),оснащены входными дверями с замками. Операторами установлен порядок доступа впомещения, препятствующий возможности неконтролируемого проникновения впомещения или пребывания в помещениях лиц, не имеющих права доступа в них. Врабочее время в случае ухода лиц, имеющих право самостоятельного доступа впомещения, а также в нерабочее время двери помещений закрываются на ключ.Доступ посторонних лиц в помещения допускается только в присутствии лиц,имеющих право самостоятельного доступа в помещения, на время, ограниченноеслужебной необходимостью. При этом операторами предпринимаются меры, исключающиевозможность доступа посторонних лиц к обрабатываемым персональным данным, в томчисле через устройства ввода/вывода информации,а также возможность доступа к носителям персональных данных.
Устройстваввода/вывода информации, участвующие в обработкеперсональных данных, располагаются в помещениях таким образом, чтобы исключитьслучайный просмотр обрабатываемой информации посторонними лицами, вошедшими впомещение, а также через двери и окна помещения.
2.8. Вводперсональных данных в ИСПДн и вывод персональныхданных из ИСПДн осуществляются с использованиембумажных и машинных носителей информации, в том числе отчуждаемых машинныхносителей информации. Операторами устанавливается порядок, обеспечивающийсохранность используемых машинных носителей персональных данных, осуществляетсяих поэкземплярный учет.
2.9. Вцелях обеспечения целостности обрабатываемых в ИСПДн персональных данных операторы определяют порядок иосуществляют резервирование персональных данных с использованием машинныхносителей. В наличии имеются комплекты восстановления на применяемое в ИСПДн системное и прикладное программное обеспечение, атакже средства защиты информации. Для ключевых элементов ИСПДнпредусмотрены источники резервного электропитания, при необходимости применяютсясистемы вентиляции и кондиционирования воздуха. Помещения оснащены средствамипожарной сигнализации.
2.10. Принятымеры по защите информации на технических средствах ИСПДн,направленные на:
- исключение возможности загрузки технических средствс внешних носителей, несанкционированного доступа к настройкам BIOS, использования встроенных адаптеров беспроводной связи(Wi-Fi, Вluetooth и др.);
- автоматическую установку критических обновленийоперационной системы (согласно рекомендациям разработчика операционнойсистемы);
- минимизацию привилегии пользователей;
- исключение возможности изменения состава иконфигурации программных и технических средств компьютера без санкцииадминистратора;
- применение сертифицированных средств антивируснойзащиты информации в соответствии с установленным оператором порядком.
2.11. ВИСПДн, имеющих подключение к РМССО, реализовано одноточечное подключение к сетям общего пользования и сети«Интернет» через централизованный и защищенный канал оператора РМС СО с использованием средств разграничения доступа ввиде межсетевых экранов. Доступ пользователей к ресурсам сети «Интернет»осуществляется посредством прокси-сервера, сертифицированного на соответствиетребованиям безопасности информации, установленным федеральным законодательством.Реализована система обнаружения и предупреждения вторжений.
2.12. ВИСПДн в целях обеспечения безопасности персональныхданных при их передаче по сетям связи общего пользования и (или) сетяммеждународного информационного обмена, в том числе сети «Интернет», применяютсясертифицированные Федеральной службой безопасности Российской Федерации СКЗИ. Обоснование необходимости (или отсутствия таковой)применения СКЗИ для обеспечения безопасностиперсональных данных в ИСПДн осуществляется ееоператором в разрабатываемой для этой ИСПДн частноймодели угроз.
Операторами,применяющими СКЗИ, устанавливается порядок,обеспечивающий сохранность документации на СКЗИ,машинных носителей информации с комплектами восстановления СКЗИ,а также носителей ключевой, парольной и аутентифицирующей информации.Документация на СКЗИ и носители хранятся только впомещениях в сейфах или закрываемых на ключ шкафах (ящиках) в условиях,препятствующих свободному доступу к ним посторонних лиц.
2.13. Операторамииспользуется единый подход к организации парольной защиты. Требования ксоставу, уникальности и управлению сроком действия пароля, порядок реагированияна инциденты, связанные с компрометацией паролей, определены оператором РМС СО.
2.14. Сучетом особенностей функционирования, используемых структурно-функциональныххарактеристик и применяемых информационных технологий, а также опасностиреализации угроз безопасности персональных данных и наступления последствий врезультате несанкционированного или случайного доступа можно выделить следующиетипы разноплановых ИСПДн, эксплуатируемых в органахисполнительной власти Смоленской области и подведомственных им учреждениях:
-1-й тип - автоматизированные рабочие места, не имеющие подключения ксетям связи, в том числе к беспроводным сетям связи;
-2-й тип - автоматизированные рабочие места, имеющие подключение ксетям связи, включая РМС СО, сети связи общегопользования и (или) сеть «Интернет»;
-3-й тип - локальные ИСПДн (комплексавтоматизированных рабочих мест, коммуникационного и серверного оборудования,объединенного в единую информационную систему в пределах одного здания),имеющие подключение к сетям связи, включая РМС СО,сети связи общего пользования и (или) сеть «Интернет»;
-4-й тип - распределенные ИСПДн, имеющиеподключение к РМС СО, сети связи общего пользования и(или) сети «Интернет».
Актуальныеугрозы безопасности персональных данных рассматриваются применительно кперечисленным типам разноплановых ИСПДн. Приразработке частной модели угроз оператор мотивированно соотносит ИСПДн с одним из рассматриваемых типов.
2.15. Кобъектам защиты в ИСПДн относятся:
- персональные данные;
- носители персональных данных;
- средства защиты информации (в том числе СКЗИ);
- среда функционирования средств защиты информации (втом числе СКЗИ);
- ключевая, парольная и аутентифицирующая информацияпользователей ИСПДн;
- носители ключевой, парольной и аутентифицирующейинформации пользователей ИСПДн;
- документы, в которых отражена информация о мерах исредствах защиты ИСПДн;
- помещения, в которых осуществляется обработкаперсональных данных и (или) размещены компоненты ИСПДн;
- каналы (линии) связи.
2.16. ВИСПДн обработка информации осуществляется воднопользовательском и многопользовательском режимах. Осуществляетсяразграничение прав доступа пользователей ИСПДн.Обслуживание технических и программных средств ИСПДн,средств защиты информации, в том числе СКЗИ и средыих функционирования, включая настройку, конфигурирование и распределениеносителей ключевой информации между пользователями ИСПДн,осуществляется привилегированными пользователями (системные администраторы,ответственные за обеспечение безопасности персональных данных, администраторыбезопасности информации), назначенными оператором ИСПДниз числа доверенных лиц.
2.17. ИСПДн с учетом ихструктурно-функциональных характеристик и условий эксплуатации, а такжеприменяемых информационных технологий и предпринятых мер обеспечениябезопасности персональных данных, указанных в настоящем разделе, имеют среднийуровень исходной защищенности.
2.18. Операторына постоянной основе реализуют меры обеспечения безопасности персональныхданных, приведенные в настоящем разделе.
3. Оценкавозможностей реализации нарушителями угроз
безопасностиперсональных данных
3.1. Нарушителемявляется физическое лицо, случайно или преднамеренно совершающее действия,следствием которых является нарушение безопасности персональных данных при ихобработке в ИСПДн .С учетом наличия прав доступа и возможностей доступа к информации и (или) ккомпонентам информационной системы нарушители подразделяются на два типа:
- внешниенарушители – лица, не имеющие права доступа к ИСПДн,ее отдельным компонентам и реализующие угрозы безопасности информации из-заграниц ИСПДн;
- внутренниенарушители – лица, имеющие право постоянного или разового доступа к ИСПДн, ее отдельным компонентам.
3.2. Сучетом состава и объема обрабатываемых персональных данных в ИСПДн, а также целей и задач их обработки в качествевозможных целей (мотивации) реализации нарушителями угроз безопасности персональныхданных в ИСПДн могут быть:
- получение выгоды путем мошенничества или инымпреступным путем;
- выявление уязвимостей с целью дальнейшей продажиуязвимостей и получения финансовой выгоды;
- любопытство или желание самореализации(подтверждение статуса);
- месть за ранее совершенные действия;
- непреднамеренные, неосторожные илинеквалифицированные действия.
3.3. Предположенияо возможных целях (мотивации) реализации угроз безопасности персональных данныхдля ИСПДн с заданными структурно-функциональнымихарактеристиками и особенностями функционирования с учетом состава и объемаобрабатываемых персональных данных в ИСПДн, целей изадач их обработки приведены в таблице.
Таблица
Тип ИСПДн | Вид нарушителя | Тип нарушителя | Возможные цели (мотивация) реализации угроз |
1 – 4 | лица, привлекаемые для установки, наладки, монтажа, пуско-наладочных и иных видов работ | внутренний | - получение выгоды путем мошенничества или иным преступным путем; - непреднамеренные, неосторожные или неквалифицированные действия |
1 – 4 | лица, обслуживающие инфраструктуру оператора (охрана, уборщики и т.д.) | внутренний | - получение выгоды путем мошенничества или иным преступным путем; - непреднамеренные, неосторожные или неквалифицированные действия |
1 – 4 | пользователи ИСПДн | внутренний | - получение выгоды путем мошенничества или иным преступным путем; - любопытство или желание самореализации (подтверждение статуса); - месть за ранее совершенные действия; - непреднамеренные, неосторожные или неквалифицированные действия |
2-4 | преступные группы (криминальные структуры) | внешний | - получение выгоды путем мошенничества или иным преступным путем; - выявление уязвимостей с целью дальнейшей продажи уязвимостей и получения финансовой выгоды |
2-4 | внешние субъекты (физические лица) | внешний | - получение выгоды путем мошенничества или иным преступным путем; - любопытство или желание самореализации (подтверждение статуса); - выявление уязвимостей с целью дальнейшей продажи уязвимостей и получения финансовой выгоды |
2-4 | бывшие работники (пользователи) | внешний | - получение выгоды путем мошенничества или иным преступным путем; - месть за ранее совершенные действия |
3.4. Сучетом имеющейся совокупности предположений о целях (мотивации) нарушителей ивозможностях реализации нарушителями угроз безопасности персональных данных в ИСПДн потенциал нападения при реализации угроз безопасностиперсональных данных для рассматриваемых видов нарушителей определяется какбазовый (низкий).
Нарушительс базовым (низким) потенциалом является непрофессионалом, использует стандартноеоборудование, имеет ограниченные знания об ИСПДн илисовсем их не имеет, возможность доступа к ИСПДн илиее отдельным компонентам у нарушителя ограничена и контролируетсяорганизационными и техническими мерами.
3.5. ВИСПДн угрозы безопасности персональных данных могутбыть реализованы внешними и внутренними нарушителями с базовым (низким)потенциалом следующими способами:
- несанкционированный доступ к объектам защиты и (или)воздействие на объекты защиты на аппаратном уровне (программы (микропрограммы),«прошитые» в аппаратных компонентах);
- несанкционированный доступ к объектам защиты и (или)воздействие на объекты защиты на общесистемном уровне (операционные системы,гипервизоры);
- несанкционированный доступ к объектам защиты и (или)воздействие на объекты защиты на прикладном уровне (системы управления базамиданных, браузеры, веб-приложения, иные прикладные программы общего испециального назначения);
- несанкционированный доступ к объектам защиты и (или)воздействие на объекты защиты на сетевом уровне (сетевое оборудование, сетевыеприложения, сервисы), кроме ИСПДн 1-го типа;
- несанкционированный физический доступ к объектамзащиты и (или) воздействие на объекты защиты.
4. Актуальныеугрозы безопасности персональных данных в информационных системах персональныхданных
4.1. Угрозыбезопасности персональных данных являются актуальными для ИСПДн,если существует вероятность их реализации нарушителем с базовым (низким) потенциалом и такая реализация приведет к неприемлемымнегативным последствиям (ущербу) от нарушения конфиденциальности, целостностиили доступности обрабатываемых персональных данных.
4.2. Учитывая средний уровеньисходной защищенности ИСПДн, состав и объемобрабатываемых в ИСПДн персональных данных, а такжеособенности их обработки, для ИСПДн органовисполнительной власти Смоленской области и подведомственных им учреждений всоответствии с пунктом 7 требований к защите персональных данных при ихобработке в информационных системах персональных данных, утвержденныхпостановлением Правительства Российской Федерации от 01.11.2012 № 1119, актуальны угрозы безопасностиперсональных данных 3-го типа.
4.3. С учетом особенностейфункционирования, используемых структурно-функциональных характеристик,применяемых информационных технологий, характера и способов обработкиперсональных данных и предпринятых операторами мер по обеспечению безопасностиперсональных данных, приведенных в разделе 2 актуальных угроз, а такжевозможных негативных последствий от их реализации преднамеренные угрозы утечки персональныхданных по техническим каналам для ИСПДн являютсянеактуальны ми,вследствие чего далее из преднамеренных угроз безопасности персональных данныхбудут рассматриваться только угрозы, реализуемые за счет несанкционированногодоступа.
4.4. Кбазовым угрозам безопасности персональных данных для рассматриваемых типов ИСПДн относятся угрозы, информация о которых получена из источников данных об угрозах безопасности информации,указанных в пункте 1.7 раздела 1 актуальных угроз, реализуемые внутренними ивнешними нарушителями с базовым (низким) потенциалом.
Вкачестве базовых угроз безопасности персональных данных для ИСПДноператорами рассматриваются актуальные угрозы безопасности персональных данныхпри их обработке в рассматриваемых типах ИСПДн,перечень которых приведен в приложении № 1 к актуальным угрозам. При этомисключение могут составлять угрозы безопасности персональных данных,информационные технологии или структурно-функциональные характеристики дляформирования которых в ИСПДн не применяются.
Базовый(предварительный) перечень рассматриваемых угроз безопасности персональныхданных для ИСПДн приводится операторами вразрабатываемой для соответствующей ИСПДн частноймодели угроз.
4.5. Оценкавозможности реализации и актуальности угроз безопасности персональных данных,включенных в базовый (предварительный) перечень для ИСПДн,осуществляется операторами в соответствии с Методикой определения актуальныхугроз безопасности персональных данных при их обработке в информационныхсистемах персональных данных, утвержденной заместителем директора Федеральнойслужбы по техническому и экспортному контролю 14.02.2008, и приводится вчастной модели угроз.
Актуальнойсчитается угроза, которая может быть реализована в ИСПДни представляет опасность для персональных данных.
Дляоценки возможности реализации угрозы применяются следующие показатели:
-уровень исходной защищенности ИСПДн;
-частота (вероятность) реализации рассматриваемой угрозы.
Подчастотой (вероятностью) реализации угрозы понимается определяемый экспертнымпутем показатель, характеризующий, насколько вероятной является реализацияконкретной угрозы безопасности персональных данных для данной ИСПДн в складывающихся условиях. С учетом базового(низкого) потенциала возможных нарушителей и среднего уровня исходнойзащищенности ИСПДн частота (вероятность) реализацииугроз безопасности персональных данных для типовых ИСПДнорганов исполнительной власти Смоленской области и подведомственных имучреждений оценивается не выше средней.
Опасность угроз безопасностиперсональных данных определяется экспертным путем и характеризуется возможныминегативными последствиями от их реализации для оператора и субъектовперсональных данных. С учетом состава (категории) и объема обрабатываемых в ИСПДн персональных данных, а также необходимостиобеспечения уровня защищенности персональных данных не выше второго опасностьугроз безопасности персональных данных для типовых ИСПДнорганов исполнительной власти Смоленской области и подведомственных имучреждений оценивается не выше средней.
Оценка возможности реализации иактуальности угроз безопасности персональных данных, включенных в базовый(предварительный) перечень для ИСПДн, осуществляетсяоператорами с учетом максимальных приведенных оценочных значений частоты (вероятности)реализации и опасности угроз.
4.6. Совокупностьпредположений о возможностях, которые могут использоваться при созданииспособов, подготовке и проведении атак на ИСПДн органовисполнительной власти Смоленской области и подведомственных им учреждений , в которых дляобеспечения безопасности персональных данных операторами принято решение оприменении СКЗИ , приведена вприложении № 2 к актуальным угрозам и учитывает базовый (низкий) потенциалвозможных нарушителей и предпринятые операторами меры по обеспечениюбезопасности персональных данных.
Совокупностьпредположений о возможностях, которые могут использовать нарушители присоздании способов, подготовке и проведении атак на ИСПДн, в которых для обеспечения безопасностиперсональных данных операторами принято решение о применении СКЗИ , формируется операторами наосновании приложения № 2 к актуальным угрозам и приводится вразрабатываемой для соответствующей ИСПДн частноймодели угроз.
Приложение№ 1
кугрозам безопасности персональных данных,
актуальнымпри обработке персональных данных
винформационных системах персональных данных
органовисполнительной власти Смоленской области
иподведомственных им учреждений
ПЕРЕЧЕНЬ
актуальных угрозбезопасности персональных данных при их обработке в рассматриваемых типах ИСПДн
№ п/п | Угрозы безопасности информации | Последствия | |||||
иденти-фикатор | наименование | описание | источник угрозы (характеристика и потенциал нарушителя) | нарушение конфиденциальности | нарушение целостности | нарушение доступности | |
1. | УБИ.006 | угроза внедрения кода или данных | угроза заключается в возможности внедрения нарушителем в дискредитируемую информационную систему вредоносного кода, который может быть в дальнейшем запущен пользователями вручную или автоматически при выполнении определенного условия (при наступлении определенной даты, входе пользователя в систему и т.п.), а также в возможности несанкционированного внедрения нарушителем некоторых собственных данных для обработки в дискредитируемую информационную систему, то есть незаконного использования чужих вычислительных ресурсов. Данная угроза обусловлена наличием уязвимостей программного обеспечения, а также слабостями мер антивирусной защиты. Реализация данной угрозы возможна в случае работы дискредитируемого пользователя с файлами, поступающими из недоверенных источников, или при наличии у него привилегий установки программного обеспечения | внешний нарушитель с низким потенциалом | есть | есть | есть |
2. | УБИ.008 | угроза восстановления аутентификационной информации | угроза заключается в возможности подбора (например, путем полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учетной записи пользователя в системе. Данная угроза обусловлена значительно меньшим объемом данных хеш-кода аутентификационной информации по сравнению с ней самой, что определяет два следствия: - восстановленная аутентификационная информация может не совпадать с исходной (при применении некоторых алгоритмов для нескольких наборов исходных данных могут быть получены одинаковые результаты – хеш-коды). Реализация данной угрозы возможна с помощью специальных программных средств, а также в некоторых случаях – вручную | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
3. | УБИ.015 | угроза доступа к защищаемым файлам с использованием обходного пути | угроза заключается в возможности получения нарушителем доступа к скрытым/защищаемым каталогам или файлам посредством различных воздействий на файловую систему (добавление дополнительных символов в указании пути к файлу; обращение к файлам, которые явно не указаны в окне приложения). Данная угроза обусловлена слабостями механизма разграничения доступа к объектам файловой системы. Реализация данной угрозы возможна при: - наличии у нарушителя прав доступа к некоторым объектам файловой системы; - отсутствии проверки вводимых пользователем данных; - наличии у дискредитируемой программы слишком высоких привилегий доступа к файлам, обработка которых не предполагается с ее помощью | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
4. | УБИ.028 | угроза использования альтернативных путей доступа к ресурсам | угроза заключается в возможности получения нарушителем несанкционированного доступа к защищаемой информации в обход штатных механизмов с помощью нестандартных интерфейсов (в том числе доступа через командную строку в обход графического интерфейса). Данная угроза обусловлена слабостями мер разграничения доступа к защищаемой информации, слабостями фильтрации входных данных. Реализация данной угрозы возможна при условии наличия у нарушителя: - возможности ввода произвольных данных в адресную строку; - сведений о пути к защищаемому ресурсу; - возможности изменения интерфейса ввода входных данных | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
5. | УБИ.030 | угроза использования информации идентификации/ аутентификации, заданной по умолчанию | угроза заключается в возможности прохождения нарушителем процедуры авторизации на основе полученной из открытых источников идентификационной и аутентификационной информации, соответствующей учетной записи «по умолчанию» дискредитируемого объекта защиты. Данная угроза обусловлена тем, что во множестве программных и программно-аппаратных средств производителями предусмотрены учетные записи «по умолчанию», предназначенные для первичного входа в систему. Более того, на многих устройствах идентификационная и аутентификационная информация может быть возвращена к заданной «по умолчанию» после проведения аппаратного сброса параметров системы (функция Reset). Реализация данной угрозы возможна при одном из следующих условий: - при наличии у нарушителя сведений о производителе/модели объекта защиты и наличии в открытых источниках сведений об идентификационной и аутентификационной информации, соответствующей учетной записи «по умолчанию» для объекта защиты; - при успешном завершении нарушителем процедуры выявления данной информации в ходе анализа программного кода дискредитируемого объекта защиты | внешний нарушитель со средним потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
6. | УБИ.031 | угроза использования механизмов авторизации для повышения привилегий | угроза заключается в возможности получения нарушителем доступа к данным и функциям, предназначенным для учетных записей с более высокими, чем у нарушителя, привилегиями, за счет ошибок в параметрах настройки средств разграничения доступа. При этом нарушитель для повышения своих привилегий не осуществляет деструктивное программное воздействие на систему, а лишь использует существующие ошибки. Данная угроза обусловлена слабостями мер разграничения доступа к программам и файлам. Реализация данной угрозы возможна в случае наличия у нарушителя каких-либо привилегий в системе | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
7. | УБИ.041 | угроза межсайтового скриптинга | угроза заключается в возможности внедрения нарушителем участков вредоносного кода на сайт дискредитируемой системы таким образом, что вредоносный код будет выполнен на рабочей станции просматривающего этот сайт пользователя. Данная угроза обусловлена слабостями механизма проверки безопасности при обработке запросов и данных, поступающих от веб-сайта. Реализация угрозы возможна в случае, если клиентское программное обеспечение поддерживает выполнение сценариев, а нарушитель имеет возможность отправки запросов и данных в дискредитируемую систему | внешний нарушитель с низким потенциалом | есть | есть | есть |
8. | УБИ.051 | угроза невозможности восстановления сессии работы на компьютере при выводе из промежуточных состояний питания | угроза заключается в возможности потери несохраненных данных, обрабатываемых в предыдущей сессии работы на компьютере, а также в возможности потери времени для возобновления работы на компьютере. Данная угроза обусловлена ошибками в реализации программно-аппаратных компонентов компьютера, связанных с обеспечением питания. Реализация данной угрозы возможна при условии невозможности выведения компьютера из промежуточных состояний питания (ждущего режима работы, гибернации и других) | внутренний нарушитель с низким потенциалом | нет | есть | есть |
9. | УБИ.062 | угроза некорректного использования прозрачного прокси-сервера за счет плагинов браузера | угроза заключается в возможности перенаправления или копирования обрабатываемых браузером данных через прозрачный прокси-сервер, подключенный к браузеру в качестве плагина. Данная угроза обусловлена слабостями механизма контроля доступа к настройкам браузера. Реализация данной угрозы возможна в случае успешного осуществления нарушителем включения режима использования прозрачного прокси-сервера в параметрах настройки браузера, например, в результате реализации угрозы межсайтового скриптинга | внешний нарушитель с низким потенциалом | есть | нет | нет |
10. | УБИ.067 | угроза неправомерного ознакомления с защищаемой информацией | угроза заключается в возможности неправомерного случайного или преднамеренного ознакомления пользователя с информацией, которая для него не предназначена, и дальнейшего ее использования для достижения своих или заданных ему другими лицами (организациями) деструктивных целей. Данная угроза обусловлена уязвимостями средств контроля доступа, ошибками в параметрах конфигурации данных средств или отсутствием указанных средств. Реализация данной угрозы не подразумевает установку и использование нарушителем специального вредоносного программного обеспечения. При этом ознакомление может быть проведено путем просмотра информации с экранов мониторов других пользователей, с отпечатанных документов, путем подслушивания разговоров и другими способами | внутренний нарушитель с низким потенциалом | есть | нет | нет |
11. | УБИ.069 | угроза неправомерных действий в каналах связи | угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путем добавления или удаления данных из информационного потока с целью оказания влияния на работу дискредитируемой системы или получения доступа к конфиденциальной информации, передаваемой по каналу связи. Данная угроза обусловлена слабостями сетевых протоколов, заключающимися в отсутствии проверки целостности и подлинности получаемых данных. Реализация данной угрозы возможна при условии осуществления нарушителем несанкционированного доступа к сетевому трафику | внешний нарушитель с низким потенциалом | есть | есть | нет |
12. | УБИ.071 | угроза несанкционирован-ного восстановления удаленной защищаемой информации | угроза заключается в возможности осуществления прямого доступа (доступа с уровней архитектуры более низких по отношению к уровню операционной системы) к данным, хранящимся на машинном носителе информации, или восстановления данных по считанной с машинного носителя остаточной информации. Данная угроза обусловлена слабостями механизма удаления информации с машинных носителей – информация, удаленная с машинного носителя, в большинстве случаев может быть восстановлена. Реализация данной угрозы возможна при следующих условиях: - если удаление информации с машинного носителя происходило без использования способов (методов, алгоритмов) гарантированного стирания данных (например, физическое уничтожение машинного носителя информации); - если технологические особенности машинного носителя информации не приводят к гарантированному уничтожению информации при получении команды на стирание данных; - если информация не хранилась в криптографически преобразованном виде | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
13. | УБИ.074 | угроза несанкционирован-ного доступа к аутентификационной информации | угроза заключается в возможности извлечения паролей из оперативной памяти компьютера или хищения (копирования) файлов паролей (в том числе хранящихся в открытом виде) с машинных носителей информации. Данная угроза обусловлена наличием слабостей мер разграничения доступа к защищаемой информации. Реализация данной угрозы возможна при условии успешного осуществления несанкционированного доступа к участкам оперативного или постоянного запоминающих устройств, в которых хранится информация аутентификации | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
14. | УБИ.084 | угроза несанкционирован-ного доступа к системе хранения данных из виртуальной и (или) физической сети | угроза заключается в возможности осуществления деструктивного программного воздействия на виртуальные устройства хранения данных и (или) виртуальные диски, являющиеся как сегментами виртуального дискового пространства, созданного отдельным виртуальным устройством, так и единым виртуальным дисковым пространством, созданным путем логического объединения нескольких виртуальных устройств хранения данных. Данная угроза обусловлена наличием слабостей применяемых технологий распределения информации по различным виртуальным устройствам хранения данных и (или) виртуальным дискам, а также слабостей технологии единого виртуального дискового пространства. Указанные слабости связаны с высокой сложностью алгоритмов обеспечения согласованности действий по распределению информации в рамках единого виртуального дискового пространства, а также взаимодействия с виртуальными и физическими каналами передачи данных для обеспечения работы в рамках одного дискового пространства. Реализация данной угрозы возможна при условии наличия у нарушителя специальных программных средств, способных эксплуатировать слабости технологий, использованных при построении системы хранения данных (сетевых технологий, технологий распределения информации и др.) | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
15. | УБИ.086 | угроза несанкционирован-ного изменения аутентификационной информации | угроза заключается в возможности осуществления нарушителем неправомерного доступа к аутентификационной информации других пользователей с помощью штатных средств операционной системы или специальных программных средств. Данная угроза обусловлена наличием слабостей мер разграничения доступа к информации аутентификации. Реализация данной угрозы может способствовать дальнейшему проникновению нарушителя в систему под учетной записью дискредитированного пользователя | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | нет | есть | есть |
16. | УБИ.088 | угроза несанкционирован-ного копирования защищаемой информации | угроза заключается в возможности неправомерного получения нарушителем копии защищаемой информации путем проведения последовательности неправомерных действий, включающих несанкционированный доступ к защищаемой информации, копирование найденной информации на съемный носитель или в другое место, доступное нарушителю вне системы. Данная угроза обусловлена слабостями механизмов разграничения доступа к защищаемой информации и контроля доступа лиц в контролируемую зону. Реализация данной угрозы возможна в случае отсутствия криптографических мер защиты или снятия копии в момент обработки защищаемой информации в нешифрованном виде | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | нет | нет |
17. | УБИ.089 | угроза несанкционирован-ного редактирования реестра | угроза заключается в возможности внесения нарушителем изменений в используемый дискредитируемым приложением реестр, которые влияют на функционирование отдельных сервисов приложения или приложения в целом. При этом под реестром понимается не только реестр операционной системы Microsoft Windows, но и любой реестр, используемый приложением. Изменение реестра можетбыть как этапом при осуществлении другого деструктивного воздействия, так и основной целью. Данная угроза обусловлена слабостями механизма контроля доступа, заключающимися в присвоении реализующим его программам слишком высоких привилегий при работе с реестром. Реализация данной угрозы возможна в случае получения нарушителем прав на работу с программой редактирования реестра | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
18. | УБИ.090 | угроза несанкционирован-ного создания учетной записи пользователя | угроза заключается в возможности создания нарушителем в системе дополнительной учетной записи пользователя и ее дальнейшего использования в собственных неправомерных целях (входа в систему с правами этой учетной записи и осуществления деструктивных действий по отношению к дискредитированной системе или из дискредитированной системы по отношению к другим системам). Данная угроза обусловлена слабостями механизмов разграничения доступа к защищаемой информации. Реализация данной угрозы возможна в случае наличия прав на запуск специализированных программ для редактирования файлов, содержащих сведения о пользователях системы (при удаленном доступе), или штатных средств управления доступом из состава операционной системы (при локальном доступе) | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
19. | УБИ.091 | угроза несанкционирован-ного удаления защищаемой информации | угроза заключается в возможности причинения нарушителем экономического, информационного, морального и других видов ущерба собственнику и оператору неправомерно удаляемой информации путем осуществления деструктивного программного или физического воздействия на машинный носитель информации. Данная угроза обусловлена недостаточностью мер по обеспечению доступности защищаемой информации в системе, а равно и наличием уязвимостей в программном обеспечении, реализующем данные меры. Реализация данной угрозы возможна в случае получения нарушителем системных прав на стирание данных или физического доступа к машинному носителю информации на расстояние, достаточное для оказания эффективного деструктивного воздействия | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | нет | нет | есть |
20. | УБИ.098 | угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб | угроза заключается в возможности определения нарушителем состояния сетевых портов дискредитируемой системы (так называемое сканирование портов) для получения сведений о возможности установления соединения с дискредитируемой системой по данным портам, конфигурации самой системы и установленных средств защиты информации, а также других сведений, позволяющих нарушителю определить, по каким портам деструктивные программные воздействия могут быть осуществлены напрямую, а по каким – только с использованием специальных техник обхода межсетевых экранов. Данная угроза связана с уязвимостями и ошибками конфигурирования средств межсетевого экранирования и фильтрации сетевого трафика, используемых в дискредитируемой системе. Реализация данной угрозы возможна при условии наличия у нарушителя подключения к дискредитируемой вычислительной сети и специализированного программного обеспечения, реализующего функции сканирования портов и анализа сетевого трафика | внешний нарушитель с низким потенциалом | есть | нет | нет |
21. | УБИ.099 | угроза обнаружения хостов | угроза заключается в возможности сканирования нарушителем вычислительной сети для выявления работающих сетевых узлов. Данная угроза связана со слабостями механизмов сетевого взаимодействия, предоставляющими клиентам сети открытую техническую информацию о сетевых узлах, а также с уязвимостями и ошибками конфигурирования средств межсетевого экранирования и фильтрации сетевого трафика, используемых в дискредитируемой системе. Реализация данной угрозы возможна при условии наличия у нарушителя подключения к дискредитируемой вычислительной сети и специализированного программного обеспечения, реализующего функции анализа сетевого трафика | внешний нарушитель с низким потенциалом | есть | нет | нет |
22. | УБИ.116 | угроза перехвата данных, передаваемых по вычислительной сети | угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычислительной сети в пассивном (иногда в активном) режиме (то есть прослушивания сетевого трафика) для сбора и анализа сведений, которые могут быть использованы в дальнейшем для реализации других угроз. При этом нарушитель остается при реализации данной угрозы невидимым (скрытным) получателем перехватываемых данных. Кроме того, нарушитель может проводить исследования других типов потоков данных, например, радиосигналов. Данная угроза обусловлена слабостями механизмов сетевого взаимодействия, предоставляющими сторонним пользователям открытые данные о дискредитируемой системе, а также ошибками конфигурации сетевого программного обеспечения. Реализация данной угрозы возможна в случае: - наличия у нарушителя доступа к дискредитируемой вычислительной сети; - неспособности технологий, с помощью которых реализована передача данных, предотвратить возможность осуществления скрытного прослушивания потока данных | внешний нарушитель с низким потенциалом | есть | нет | нет |
23. | УБИ.128 | угроза подмены доверенного пользователя | угроза заключается в возможности нарушителя выдавать себя за легитимного пользователя и выполнять прием/передачу данных от его имени. Данную угрозу можно охарактеризовать как имитацию действий клиента. Данная угроза обусловлена слабостями технологий сетевого взаимодействия, зачастую не позволяющими выполнить проверку подлинности источника/получателя информации. Реализация данной угрозы возможна при наличии у нарушителя подключения к вычислительной сети, а также сведений о конфигурации сетевых устройств и типе используемого программного обеспечения | внешний нарушитель с низким потенциалом | есть | нет | нет |
24. | УБИ.156 | угроза утраты носителей информации | угроза заключается в возможности раскрытия информации, хранящейся на утерянном носителе (в случае отсутствия шифрования данных), или ее потери (в случае отсутствия резервной копии данных). Данная угроза обусловлена слабостями мер регистрации и учета носителей информации, а также мер резервирования защищаемых данных. Реализация данной угрозы возможна вследствие халатности сотрудников | внутренний нарушитель с низким потенциалом | есть | нет | есть |
25. | УБИ.157 | угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/переда-чи информации | угроза заключается в возможности умышленного выведения из строя внешним нарушителем средств хранения, обработки и (или) ввода/вывода/передачи информации, что может привести к нарушению доступности, а в некоторых случаях и целостности защищаемой информации. Данная угроза обусловлена слабостями мер контроля физического доступа к средствам хранения, обработки и (или) ввода/вывода/передачи информации. Реализация данной угрозы возможна при условии получения нарушителем физического доступа к носителям информации (внешним, съемным и внутренним накопителям), средствам обработки информации (процессору, контроллерам устройств и т.п.) и средствам ввода/вывода информации (клавиатура и т.п.) | внешний нарушитель с низким потенциалом | нет | есть | есть |
26. | УБИ.159 | угроза «форсированного веб-браузинга» | угроза заключается в возможности получения нарушителем доступа к защищаемой информации, выполнению привилегированных операций или осуществлению иных деструктивных воздействий на некорректно защищенные компоненты веб-приложений. Данная угроза обусловлена слабостями (или отсутствием) механизма проверки корректности вводимых данных на веб-серверах. Реализация данной угрозы возможна при условии успешной реализации ручного ввода в адресную строку веб-браузера определенных адресов веб-страниц и осуществления принудительного перехода по древу веб-сайта к страницам, ссылки на которые явно не указаны на веб-сайте | внешний нарушитель с низким потенциалом | есть | нет | нет |
27. | УБИ.167 | угроза заражения компьютера при посещении неблагонадежных сайтов | угроза заключается в возможности нарушения безопасности защищаемой информации вредоносными программами, скрытно устанавливаемыми при посещении пользователями системы с рабочих мест (намеренно или при случайном перенаправлении) сайтов с неблагонадежным содержимым и запускаемыми с привилегиями дискредитированных пользователей. Данная угроза обусловлена слабостями механизмов фильтрации сетевого трафика и антивирусного контроля на уровне организации. Реализация данной угрозы возможна при условии посещения пользователями системы с рабочих мест сайтов с неблагонадежным содержимым | внутренний нарушитель с низким потенциалом | есть | есть | есть |
28. | УБИ.168 | угроза «кражи» учетной записи доступа к сетевым сервисам | угроза заключается в возможности неправомерного ознакомления нарушителя с защищаемой информацией пользователя путем получения информации идентификации/аутентификации, соответствующей учетной записи доступа пользователя к сетевым сервисам (социальной сети, облачным сервисам и др.), с которой связан неактивный/несуществующий адрес электронной почты. Данная угроза обусловлена недостаточностью мер контроля за активностью/существованием ящиков электронной почты. Реализация данной угрозы возможна при условии: - наличия статуса «свободен для занимания» у адреса электронной почты, с которым связана учетная запись доступа пользователя к сетевым сервисам (например, если пользователь указал при регистрации несуществующий адрес или долго не обращался к почтовому ящику, вследствие чего его отключили); - наличия у нарушителя сведений об адресе электронной почты, с которым связана учетная запись дискредитируемого пользователя для доступа к сетевым сервисам | внешний нарушитель с низким потенциалом | есть | нет | есть |
29. | УБИ.170 | угроза неправомерного шифрования информации | угроза заключается в возможности фактической потери доступности защищаемых данных из-за их несанкционированного криптографического преобразования нарушителем с помощью известного только ему секретного ключа. Данная угроза обусловлена наличием слабостей в антивирусной защите, а также в механизмах разграничения доступа. Реализация данной угрозы возможна при условии успешной установки нарушителем на дискредитируемый компьютер средства криптографического преобразования информации, а также успешного обнаружения (идентификации) нарушителем защищаемых файлов | внешний нарушитель с низким потенциалом | нет | нет | есть |
30. | УБИ.171 | угроза скрытного включения вычислительного устройства в состав бот-сети | угроза заключается в возможности опосредованного осуществления нарушителем деструктивного воздействия на информационные системы с множества вычислительных устройств (компьютеров, мобильных технических средств и др.), подключенных к сети «Интернет», за счет захвата управления такими устройствами путем несанкционированной установки на них: - вредоносного программного обеспечения типа Backdoor для обеспечения нарушителя возможностью удаленного доступа к дискредитируемым вычислительным устройствам и удаленного управления ими; - клиентского программного обеспечения для включения в ботнет и использования созданного таким образом ботнета в различных противоправных целях (рассылка спама, проведение атак типа «отказ в обслуживании» и др.). Данная угроза обусловлена уязвимостями в сетевом программном обеспечении и слабостями механизмов антивирусного контроля и межсетевого экранирования. Реализация данной угрозы возможна при условии наличия выхода с дискредитируемого вычислительного устройства в сеть «Интернет» | внешний нарушитель с низким потенциалом | нет | нет | есть |
31. | УБИ.172 | угроза распространения «почтовых червей» | угроза заключается в возможности нарушения безопасности защищаемой информации пользователя вредоносными программами, скрытно устанавливаемыми при получении пользователями системы электронных писем, содержащих вредоносную программу типа «почтовый червь», а также невольного участия в дальнейшем противоправном распространении вредоносного кода. Данная угроза обусловлена слабостями механизмов антивирусного контроля. Реализация данной угрозы возможна при условии наличия у дискредитируемого пользователя электронного почтового ящика, а также наличия в его адресной книге хотя бы одного адреса другого пользователя | внешний нарушитель с низким потенциалом | есть | есть | есть |
32. | УБИ.174 | угроза «фарминга» | угроза заключается в возможности неправомерного ознакомления нарушителя с защищаемой информацией (в том числе идентификации/аутентификации) пользователя путем скрытного перенаправления пользователя на поддельный сайт (внешне идентичный оригинальному), на котором от дискредитируемого пользователя требуется ввести защищаемую информацию. Данная угроза обусловлена уязвимостями DNS-сервера, маршрутизатора. Реализация данной угрозы возможна при условии наличия у нарушителя: - сведений о конкретных сайтах, посещаемых пользователем, на которых требуется ввод защищаемой информации; - средств создания и запуска поддельного сайта; - специальных программных средств типа «эксплойт», реализующих перенаправление пользователя на поддельный сайт. Кроме того, угрозе данного типа подвержены подлинные сайты, не требующие установления безопасного соединения перед вводом информации ограниченного доступа | внешний нарушитель с низким потенциалом | есть | нет | нет |
33. | УБИ.175 | угроза «фишинга» | угроза заключается в возможности неправомерного ознакомления нарушителя с защищаемой информацией (в том числе идентификации/аутентификации) пользователя путем убеждения пользователя с помощью методов социальной инженерии (в том числе посредством рассылки целевых писем (spear-phishing attack), с помощью звонков, стимулирующих к открытию вложения письма, имитации рекламных предложений (fake offers) или различных приложений (fake apps) зайти на поддельный сайт (внешне идентичный оригинальному), на котором от дискредитируемого пользователя требуется ввести защищаемую информацию или открыть в письме зараженное вложение. Данная угроза обусловлена недостаточностью знаний пользователей о методах и средствах «фишинга». Реализация данной угрозы возможна при условии наличия у нарушителя: - сведений о конкретных сайтах, посещаемых пользователем, на которых требуется ввод защищаемой информации; - средств создания и запуска поддельного сайта; - сведений о контактах пользователя с доверенной организацией (номер телефона, адрес электронной почты и др.). Для убеждения пользователя раскрыть информацию ограниченного доступа (или открыть вложение в письмо) наиболее часто используются поддельные письма от администрации какой-либо организации, с которой взаимодействует пользователь (например, банк) | внешний нарушитель с низким потенциалом | есть | нет | нет |
34. | УБИ.178 | угроза несанкционирован-ного использования системных и сетевых утилит | угроза заключается в возможности осуществления нарушителем деструктивного программного воздействия на систему за счет использования имеющихся или предварительно внедренных стандартных (известных и обычно не определяемых антивирусными программами как вредоносные) системных и сетевых утилит, предназначенных для использования администратором для диагностики и обслуживания системы (сети). Реализация данной угрозы возможна при условии: - наличия в системе стандартных системных и сетевых утилит или успешного их внедрения нарушителем в систему и сокрытия (с использованием существующих архивов, атрибутов «скрытый» или «только для чтения» и др.); - наличия у нарушителя привилегий на запуск таких утилит | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
35. | УБИ.191 | угроза внедрения вредоносного кода в дистрибутив программного обеспечения | угроза заключается в возможности осуществления нарушителем заражения системы путем установки дистрибутива, в который внедрен вредоносный код. Данная угроза обусловлена слабостями мер антивирусной защиты. Реализация данной угрозы возможна при применении пользователем сторонних дистрибутивов; отсутствии антивирусной проверки перед установкой дистрибутива | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
36. | УБИ.192 | угроза использования уязвимых версий программного обеспечения | угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей | внешний нарушитель с низким потенциалом, внутренний нарушитель с низким потенциалом | есть | есть | есть |
Приложение№ 2
кугрозам безопасности персональных данных,
актуальнымпри обработке персональных данных
винформационных системах персональных данных
органовисполнительной власти Смоленской области
иподведомственных им учреждений
СОВОКУПНОСТЬПРЕДПОЛОЖЕНИЙ
о возможностях,которые могут использоваться при создании способов, подготовке и проведенииатак на ИСПДн органов исполнительной власти Смоленской области иподведомственных им учреждений , в которых дляобеспечения безопасности персональных данных операторами принято решение оприменении СКЗИ
№ п/п | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) угроз для построения и реализации атак | Обоснование отсутствия актуальности |
1. | Проведение атаки при нахождении в пределах контролируемой зоны | актуально | - |
2. | Проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты среды функционирования СКЗИ; - помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования СКЗИ | неактуально | проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверями с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения в эти помещения или пребывания в них лиц, не имеющих права доступа в эти помещения. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения, на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Установлен порядок, обеспечивающий сохранность документации на СКЗИ, машинных носителей информации с комплектами восстановления СКЗИ, носителей ключевой, парольной и аутентифицирующей информации. Документация на СКЗИ и указанные носители хранятся только в сейфах или закрываемых на ключ шкафах (ящиках) в условиях, препятствующих свободному доступу к ним посторонних лиц |
3. | Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: - сведений о физических мерах защиты объектов, в которых размещены ресурсы ИСПДн; - сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы ИСПДн; - сведений о мерах по разграничению доступа в помещения, в которых находятся компоненты ИСПДн, на которых реализованы СКЗИ и среда функционирования СКЗИ | актуально | - |
4. | Использование штатных средств ИСПДн, в которой используется СКЗИ, ограниченное реализованными в ИСПДн мерами, направленными на предотвращение и пресечение несанкционированных действий | актуально | - |
5. | Физический доступ к компонентам ИСПДн, на которых реализованы СКЗИ и среда функционирования | неактуально | проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверями с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания в них лиц, не имеющих права доступа в эти помещения. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения, на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты |
6. | Возможность воздействовать на аппаратные компоненты СКЗИ и среду функционирования СКЗИ, ограниченная мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий | неактуально | базового (низкого) потенциала нарушителя недостаточно для реализации угрозы. Проводятся работы по подбору сотрудников, привилегированные пользователи ИСПДн назначаются из числа доверенных лиц. Обеспечивается контролируемый доступ (контролируемая зона) в административные здания и (или) помещения с компонентами ИСПДн. Указанные помещения оснащены входными дверями с замками, установлен порядок доступа в эти помещения, препятствующий возможности неконтролируемого проникновения или пребывания в них лиц, не имеющих права доступа в эти помещения. В рабочее время в случае ухода лиц, имеющих право самостоятельного доступа в указанные помещения, а также в нерабочее время двери помещений закрываются на ключ. Доступ посторонних лиц в помещения с компонентами ИСПДн допускается только в присутствии лиц, имеющих право самостоятельного доступа в данные помещения, на время, ограниченное служебной необходимостью. При этом предпринимаются меры, исключающие возможность доступа посторонних лиц к обрабатываемым персональным данным и другим объектам защиты. Осуществляется разграничение, регистрация и учет доступа пользователей ИСПДн к объектам защиты с использованием организационных мер и средств ИСПДн. Правами управления (администрирования) ИСПДн обладают только привилегированные пользователи |
7. | Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и среды функционирования СКЗИ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного программного обеспечения | неактуально | не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Для ИСПДн актуальны угрозы безопасности персональных данных 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении |
8. | Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в ИСПДн, в которой используется СКЗИ, направленными на предотвращение и пресечение несанкционированных действий | неактуально | не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
9. | Проведение работ по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и среды функционирования СКЗИ, в том числе с использованием исходных текстов входящего в среду функционирования прикладного программного обеспечения, непосредственно использующего вызовы программных функций СКЗИ | неактуально | не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности |
10. | Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного программного обеспечения | неактуально | для ИСПДн угрозы, связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении, неактуальны. Не осуществляется обработка сведений, которые могут представлять интерес для реализации возможности. Высокая стоимость и сложность подготовки реализации возможности. Для ИСПДн актуальны угрозы безопасности персональных данных 3-го типа, не связанные с наличием недокументированных (недекларированных) возможностей в используемом системном и прикладном программном обеспечении |
11. | Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты среды функционирования СКЗИ | неактуально | не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Отсутствует в наличии конструкторская документация на аппаратные и программные компоненты среды функционирования СКЗИ |
12. | Возможность воздействовать на любые компоненты СКЗИ и среды функционирования СКЗИ | неактуально | не осуществляется обработка сведений, которые могут представлять интерес (мотивацию) для реализации возможности. Базового (низкого) потенциала нарушителя недостаточно для реализации угрозы |