Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
8.6 Реестр уязвимостей БДУ ФСТЭК РоссииНа территории Российской Федерации одной из основных организаций, отвечающих за обеспечение информационной безопасности в ключевых системах информационной инфраструктуры, включая компьютерные сети органов государственной власти и компьютерные сети критичных объектов инфраструктуры и предприятий, является Федеральная служба по техническому и экспортному контролю – ФСТЭК России. Данный реестр уязвимостей в первую очередь ориентирован на сбор и хранение информации об угрозах и уязвимостях ПО, используемого в государственных организациях Российской Федерации, включая информационные системы и системы управления критичными производственными процессами. Все хранящиеся в БДУ ФСТЭК России записи имеют единообразный формат и включают: текстовое описание уязвимости, дату обнаружения уязвимости, названия, версии и производителей уязвимого ПО, информацию о типе ошибки, классе уязвимости и текущем ее статусе (потенциально возможная либо подтвержденная производителями ПО или независимыми исследователями уязвимость, устранена ли уязвимость в новых версиях ПО). Также записи содержат оценку критичности уязвимости и сопутствующий вектор CVSS, пометку о наличии известных готовых сценариев эксплуатации уязвимости и возможного результата эксплуатации уязвимости, указание уязвимых аппаратных платформ или операционных систем, список возможных методов противодействия уязвимости и ссылки на источники дополнительной информации по уязвимости (включая идентификаторы данной уязвимости в иных реестрах и базах данных). В 2015 году ФСТЭК России совместно с заинтересованными органами власти и организациями сформировала банк данных угроз безопасности информации (БДУ). Банк данных угроз находится в свободном доступе на сайте http://www.bdu.fstec.ru/. БДУ включает в себя базу данных уязвимостей программного обеспечения и описание угроз, характерных, в первую очередь, для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов. Целью создания данного банка является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах. Банк данных предназначен для: заказчиков информационных (автоматизированных) систем и их систем защиты; операторов информационных (автоматизированных) систем и их систем защиты; разработчиков информационных (автоматизированных) систем и их систем защиты; разработчиков и производителей средств защиты информации; испытательных лабораторий и органов по сертификации средств защиты информации; иных заинтересованных организаций и лиц. По состоянию на сентябрь 2017 года банк данных угроз содержит 205 угроз и 17369 уязвимостей. БДУ может использоваться для формирования модели угроз (и последующей оценки защищенности) Рисунок 8.1 - Создание частной модели угроз на основе БДУ 8.7 Нарушители безопасности персональных данных8.7.1 Классификация нарушителей безопасности информационных систем персональных данных В условиях современных тенденций функционирования организаций большинство работников во время исполнения служебных обязанностей так или иначе сталкиваются с информацией ограниченного доступа, что делает их как объектом, так и субъектом информационных угроз. То есть одним из немаловажных факторов, который необходимо учитывать при построении системы защиты информации на предприятии в общем, и системы защиты персональных данных в частности, является человеческий фактор. Для этого необходимо обеспечить: Правильный подход к подбору персонала и дальнейшую организацию работы с ним, включая: - проведение семинаров и инструктажей по общим вопросам и правилам обработки информации ограниченного доступа, в том числе и персональных данных; - повышение общего уровня знаний и компетенции каждого сотрудника по вопросам обеспечения информационной безопасности в организации; - формирование наиболее благоприятных рабочих условий, отвечающих требованиям внешних и внутренних нормативных документов в сфере защиты информации и персональных данных; - формирование единой корпоративной культуры по вопросам обеспечения информационной безопасности в организации, с доведением до сведения персонала о возможных последствиях нарушения данной корпоративной культуры. 2. Организацию контролируемой зоны, включая: - определение границ контролируемой зоны; определение мер и средств физической защиты информации; определение мер и средств технической защиты информации; организация КПП в организации; организация пропускного режима; регламентацию работы и допуска персонала к защищаемой информации, в том числе и персональных данных; - формирования правил учета лиц, получивших доступ к работе с информацией ограниченного доступа, в том числе и персональных данных. Согласно положениям «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных» ФСТЭК РФ 15.02.2008, контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. В случае, если получение информации ограниченного доступа происходит в обход правил предоставления доступа, лица, получившие такую информацию, являются нарушителями информационной безопасности. Нарушитель информационной безопасности, согласно положениям ГОСТ Р 53114–2008 – физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации. По наличию права постоянного, временного или разового доступа в контролируемую зону нарушители подразделяются на два типа: 1. Нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители. 2. Нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители. Внешними нарушителями могут быть: - разведывательные службы государств; криминальные структуры; конкуренты (конкурирующие организации); недобросовестные партнеры; внешние субъекты (физические лица). Внешний нарушитель имеет следующие возможности: - осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений; - осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена; - осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок; - осуществлять несанкционированный доступ через элементы информационной инфраструктуры информационной системы персональных данных, которые в процессе своего жизненного цикла (модернизации, сопровождения, ремонта, утилизации) оказываются за пределами контролируемой зоны; осуществлять несанкционированный доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к информационной системе персональных данных. 8.7.2 Внутренний нарушитель Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно– технических мер защиты, в том числе по допуску физических лиц к персональным данным и контролю порядка проведения работ. Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к персональным данным. К первой категории относятся лица, имеющие санкционированный доступ к информационной системе персональных данных, но не имеющие доступа к персональным данным. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование информационной системы персональных данных. Лицо этой категории может: - иметь доступ к фрагментам информации, содержащей персональные данные и распространяющейся по внутренним каналам связи информационной системы персональных данных; - располагать фрагментами информации о топологии информационной системы персональных данных (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах; - располагать именами и вести выявление паролей зарегистрированных пользователей; - изменять конфигурацию технических средств информационной системы персональных данных, вносить в нее программно–аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам информационной системы персональных данных. Ко второй категории относятся зарегистрированные пользователи информационной системы персональных данных, осуществляющие ограниченный доступ к ресурсам информационной системы персональных данных с рабочего места. Лицо этой категории: - обладает всеми возможностями лиц первой категории; знает, по меньшей мере, одно легальное имя доступа; обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных; - располагает конфиденциальными данными, к которым имеет доступ. Его доступ, аутентификация и права по доступу к некоторому подмножеству персональных данных должны регламентироваться соответствующими правилами разграничения доступа. К третьей категории относятся зарегистрированные пользователи информационной системы персональных данных, осуществляющие удаленный доступ к персональным данным по локальным и (или) распределенным информационным системам. Лицо этой категории: - обладает всеми возможностями лиц первой и второй категорий; располагает информацией о топологии информационной системы персональных данных на базе локальной и (или) распределенной информационной системы, через которую осуществляется доступ, и о составе технических средств информационной системы персональных данных; - имеет возможность прямого (физического) доступа к фрагментам технических средств информационной системы персональных данных. К четвертой категории относятся зарегистрированные пользователи информационной системы персональных данных с полномочиями администратора безопасности сегмента (фрагмента) информационной системы персональных данных. Лицо этой категории: - обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) информационной системы персональных данных; - обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) информационной системы персональных данных; - имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) информационной системы персональных данных; имеет доступ ко всем техническим средствам сегмента (фрагмента) информационной системы персональных данных; - обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) информационной системы персональных данных. К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора информационной системы персональных данных. Лицо этой категории: - обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией о системном и прикладном программном обеспечении информационной системы персональных данных; - обладает полной информацией о технических средствах и конфигурации информационной системы персональных данных; - имеет доступ ко всем техническим средствам обработки информации и данным информационной системы персональных данных; - обладает правами конфигурирования и административной настройки технических средств информационной системы персональных данных. Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от несанкционированного доступа. К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности информационной системы персональных данных. Лицо этой категории: - обладает всеми возможностями лиц предыдущих категорий; обладает полной информацией об информационной системе персональных данных; - имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов информационной системы персональных данных; - не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных). Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор. К седьмой категории относятся программисты–разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте. Лицо этой категории: - обладает информацией об алгоритмах и программах обработки информации на информационной системе персональных данных; - обладает возможностями внесения ошибок, не декларированных возможностей, программных закладок, вредоносных программ в программное обеспечение информационной системы персональных данных на стадии ее разработки, внедрения и сопровождения; - может располагать любыми фрагментами информации о топологии информационной системе персональных данных и технических средствах обработки и защиты персональных данных, обрабатываемых в информационной системе персональных данных. К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на информационную систему персональных данных. К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на информационную систему персональных данных. Лицо этой категории: - обладает возможностями внесения закладок в технические средства информационной системы персональных данных на стадии их разработки, внедрения и сопровождения; - может располагать любыми фрагментами информации о топологии информационной системы персональных данных и технических средствах обработки и защиты информации в информационной системе персональных данных. Указанные категории нарушителей должны учитываться при оценке возможностей реализации угрозы безопасности персональных данных. Таким образом видно, что при должной мотивации нарушителем безопасности персональных данных может быть любой человек включая сотрудников организации. Исключить полностью данный фактор невозможно, но при хорошо организованной работе с персоналом, а также совокупности других организационных и технических мер, можно минимизировать вероятность его возникновения. |