Модель угроз и нарушителя безопасности персональных данных, обрабатываемых в типовых информационных системах

−
внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн;
−
внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн.
В качестве внешнего нарушителя кроме лиц категории I должны рассматриваться также лица категории II, находящиеся за пределами КЗ.
В отношении ИСПДн в качестве внешнего нарушителями из числа лиц категории I могут выступать:
−
бывшие сотрудники предприятий отрасли;
−
посторонние лица, пытающиеся получить доступ к ПДн в инициативном порядке;
−
представители преступных организаций.
Внешний нарушитель может осуществлять:
−
перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ, в том числе с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;
−
деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;
−
несанкционированный доступ к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;
−
перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от несанкционированного доступа (НСД) к информации организационно- техническими мерами;
34

−
атаки на ИСПДн путем реализации угроз удаленного доступа.
Внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн.
1. К первой группе относятся сотрудники предприятий, не являющиеся зарегистрированными пользователями и не допущенные к ИР ИСПДн, но имеющие санкционированный доступ в КЗ. К этой категории нарушителей относятся сотрудники различных структурных подразделений предприятий: энергетики, сантехники, уборщицы, сотрудники охраны и другие лица, обеспечивающие нормальное функционирование объекта информатизации.
Лицо данной группы может:
−
располагать именами и вести выявление паролей зарегистрированных пользователей ИСПДн;
−
изменять конфигурацию технических средств обработки ПДн, вносить программно-аппаратные закладки в ПТС ИСПДн и обеспечивать съем информации, используя непосредственное подключение к техническим средствам обработки информации.
2. Ко второй группе относятся зарегистрированные пользователи
ИСПДн, осуществляющие ограниченный доступ к ИР ИСПДн с рабочего места.
К этой категории относятся сотрудники предприятий, имеющие право доступа к локальным ИР ИСПДн для выполнения своих должностных обязанностей.
Лицо данной группы:
−
обладает всеми возможностями лиц первой категории;
−
знает, по меньшей мере, одно легальное имя доступа;
−
обладает всеми необходимыми атрибутами (например, паролем), обеспечивающим доступ к ИР ИСПДн;
−
располагает ПДн, к которым имеет доступ.
35

3. К третьей группе относятся зарегистрированные пользователи подсистем ИСПДн, осуществляющие удаленный доступ к ПДн по локальной или распределенной сети предприятий.
Лицо данной группы:
−
обладает всеми возможностями лиц второй категории;
−
располагает информацией о топологии сети ИСПДн и составе технических средств ИСПДн;
−
имеет возможность прямого (физического) доступа к отдельным техническим средствам ИСПДн.
4. К четвертой группе относятся зарегистрированные пользователи
ИСПДн с полномочиями администратора безопасности сегмента (фрагмента)
ИСПДн.
Лицо данной группы:
−
обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте ИСПДн
−
обладает полной информацией о технических средствах и конфигурации сегмента ИСПДн;
−
имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте ИСПДн;
−
имеет доступ ко всем техническим средствам сегмента ИСПДн;
−
обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента ИСПДн.
5. К пятой группе относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от несанкционированного доступа.
Лицо данной группы:
36

−
обладает полной информацией о системном, специальном и прикладном ПО, используемом в ИСПДн;
−
обладает полной информацией о ТС и конфигурации ИСПДн
−
имеет доступ ко всем ТС ИСПДн и данным;
−
обладает правами конфигурирования и административной настройки
ТС ИСПДн.
6. К шестой группе относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн, отвечающего за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей, криптографическую защиту информации (СКЗИ).
Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.
Лицо данной группы:
−
обладает полной информацией об ИСПДн;
−
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
−
не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
7. К седьмой группе относятся лица из числа программистов- разработчиков сторонней организации, являющихся поставщиками ПО и лица, обеспечивающие его сопровождение на объекте размещения ИСПДн.
Лицо данной группы:
−
обладает информацией об алгоритмах и программах обработки информации в ИСПДн;
−
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в ПО
ИСПДн на стадии его разработки, внедрения и сопровождения;
−
может располагать любыми фрагментами информации о ТС обработки и защиты информации в ИСПДн.
37

8. К восьмой группе относятся персонал, обслуживающий ТС ИСПДн, а также лица, обеспечивающие поставку, сопровождение и ремонт ТС ИСПДн.
Лицо данной группы:
−
обладает возможностями внесения закладок в ТС ИСПДн на стадии их разработки, внедрения и сопровождения;
−
может располагать фрагментами информации о топологии ИСПДн, автоматизированных рабочих местах, серверах и коммуникационном оборудовании, а также о ТС защиты информации в ИСПДн.
9.2Предположения о возможностях нарушителя
Для получения исходных данных о ИСПДн нарушитель (как I категории, так и II категории) может осуществлять перехват зашифрованной информации и иных данных, передаваемых по каналам связи сетям общего пользования и (или) сетям международного информационного обмена, а также по локальным сетям ИСПДн.
В дополнении к приведенным в подразделе 9.2 возможностям, которыми обладают различные группы внутренних нарушителей, может быть приведен ряд дополнительных возможностей, которые присущи всем группам внутреннего нарушителя.
Любой внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления.
Предполагается, что возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объектов размещения ИСПДн ограничительных факторов, из которых основными являются режимные мероприятия и организационно-технические меры, направленные на:
−
предотвращение и пресечение несанкционированных действий;
−
подбор и расстановку кадров;
38

−
допуск физических лиц в контролируемую зону и к средства вычислительной техники;
−
контроль за порядком проведения работ.
В силу этого внутренний нарушитель не имеет возможности получения специальных знаний о ИСПДн в объеме, необходимом для решения вопросов создания и преодоления средств защиты ПДн, и исключается его возможность по созданию и применению специальных программно-технических средств реализации целенаправленных воздействий данного нарушителя на подлежащие защите объекты и он может осуществлять попытки несанкционированного доступа к ИР с использованием только штатных программно-технических средств ИСПДн без нарушения их целостности.
Возможность сговора внутренних нарушителей между собой, сговора внутреннего нарушителя с персоналом организаций-разработчиков подсистем
ИСПДн, а также сговора внутреннего и внешнего нарушителей должна быть исключена применением организационно-технических и кадрово-режимных мер, действующих на объектах размещения ИСПДн.
9.3Предположения об имеющихся у нарушителя средствах атак
Предполагается, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства.
Внешний нарушитель (лица категории I, а также лица категории II при нахождении за пределами КЗ) может использовать следующие средства доступа к защищаемой информации:
−
доступные в свободной продаже аппаратные средства и программное обеспечение, в том числе программные и аппаратные компоненты криптосредств;
−
специально разработанные технические средства и программное обеспечение;
39

−
средства перехвата и анализа информационных потоков в каналах связи;
−
специальные технические средства перехвата информации по ТКУИ;
−
штатные средства ИСПДн (только в случае их расположения за пределами КЗ).
Внутренний нарушитель для доступа к защищаемой информации, содержащей ПДн, может использовать только штатные средства ИСПДн. При этом его возможности по использованию штатных средств зависят от реализованных в ИСПДн организационно-технических и режимных мер.
9.4Описание каналов атак
Возможными каналами атак, которые может использовать нарушитель для доступа к защищаемой информации в ИСПДн, являются:
−
каналы непосредственного доступа к объекту (визуально-оптический, акустический, физический);
−
электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления;
−
бумажные носители информации;
−
штатные программно-аппаратные средства ИСПДн;
−
кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами;
−
незащищенные каналы связи
−
ТКУИ.
9.5Тип нарушителя при использовании в ИСПДн криптографических
средств защиты информации
При взаимодействии отдельных подсистем ИСПДн между собой по сетям связи общего пользования и (или) сетям международного информационного обмена, при обмене информацией между ИСПДн и внешними по отношению к
40

предприятию информационными системами, а также при передаче ПДн по кабельным системам, расположенным в пределах контролируемой зоны и не защищенных от НСД к информации организационно-техническими мерами, для обеспечения конфиденциальности информации необходимо использование средств криптографической защиты информации (СКЗИ).
Уровень криптографической защиты персональных данных, обеспечиваемой СКЗИ, определяется путем отнесения нарушителя, действиям которого должно противостоять СКЗИ, к конкретному типу, и базируется на подходах, описанных в «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации».
Тип нарушителя и класс СКЗИ должен определяться в соответствии с таблицей 9.1.
Таблица 9.1 – Соответствие типов нарушителя и класса СКЗИ
Группа внутреннего нарушителя
Тип нарушителя
Класс СКЗИ
Группа 1
Н
2
КС2
Группа 2
Н
3
КС3
Группа 3
Н
3
КС3
Группа 4
Н
3
КС3
Группа 5
Н
3
КС3
Группа 6
Н
3
КС3
Группа 7
Н
5
КВ2
Группа 8
Н
4
КВ1
Внешний нарушитель относится к типу Н
1
. При этом если он обладает возможностями по созданию способов и подготовки атак, аналогичными соответствующим возможностям внутреннего нарушителя типа Н
i
(за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне), то этот нарушитель также будет обозначаться как нарушитель типа Н
i
(2
≤
i
≤
6).
41

Предполагается также, что возможности нарушителя типа Н
i+1
включают в себя возможности нарушителя типа Н
i
(1
≤
i
≤
5).
42

10 Актуальные угрозы безопасности персональных данных в
информационных системах персональных данных
Для выявления из всего перечня угроз безопасности ПДн актуальных для
ИСПДн оцениваются два показателя:
−
уровень исходной защищенности ИСПДн;
−
частота (вероятность) реализации рассматриваемой угрозы.
10.1 Уровень исходной защищенности информационной системы
персональных данных
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик
ИСПДн. Перечень данных характеристик и показатели защищенности ИСПДн, зависящие от них, показаны в таблице 10.1 2
. Данный показатель рассчитывается для ИСПДн, исходя из обобщенных характеристик объекта информатизации.
Для определения исходной защищенности ИСПДн должно быть рассчитано процентное соотношение каждого уровня защищенности ко всем характеристикам, имеющим место для ИСПДн.
Таблица 10.1 – Показатели исходной защищенности ИСПДн
Технические и эксплуатационные характеристики ИСПДн
Уровень
защищенности
В
ы
со
ки
й
С
р
ед
н
и
й
Н
и
зк
и
й
По территориальному размещению
распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)
корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий
2
В соответствии с положениями руководящего документа ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных»
43

Технические и эксплуатационные характеристики ИСПДн
Уровень
защищенности
В
ы
со
ки
й
С
р
ед
н
и
й
Н
и
зк
и
й
локальная ИСПДн, развернутая в пределах одного здания
По наличию соединения с сетями общего пользования
ИСПДн, имеющая многоточечный выход в сеть общего пользования
ИСПДн, имеющая одноточечный выход в сеть общего пользования
ИСПДн, физически отделенная от сети общего пользования
По встроенным (легальным) операциям с записями баз ПДн
чтение, поиск запись, удаление, сортировка модификация, передача
По разграничению доступа к персональным данным
ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем
ИСПДн
ИСПДн с открытым доступом
По наличию соединений с другими базами ПДн иных ИСПДн
Интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)
ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн
По уровню обобщения (обезличивания) ПДн
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными
(на уровне организации, отрасли, области, региона и т.д.)
ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации
ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн
без предварительной обработки
ИСПДн, предоставляющая всю базу данных с ПДн
ИСПДн, предоставляющая часть ПДн
ИСПДн, не предоставляющие никакой информации
Количество решений
Общее количество решений
Принимается, что ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий», а остальные уровню «средний».
44

В случае, если не менее 70% характеристик ИСПДн относится к уровню
«не ниже среднего», а остальные к уровню «низкий», то исходная защищенность ИСПДн будет среднего уровня.
Во всех остальных случаях ИСПДн будет иметь низкий уровень защищенности.