Отчет П.З. 7.2 Проверка выполнения требований по безопасности ин. Тема 2 Проверка выполнения требований по безопасности информации от утечки по техническим каналам и по требованиям по защите информации от нсд

Название	Тема 2 Проверка выполнения требований по безопасности информации от утечки по техническим каналам и по требованиям по защите информации от нсд
Дата	01.05.2023
Размер	2.49 Mb.
Формат файла
Имя файла	Отчет П.З. 7.2 Проверка выполнения требований по безопасности ин.docx
Тип	Отчет #1099997
страница	7 из 7

1 2 3 4 5 6 7

6. Способы реализации (возникновения) угроз безопасности информации

Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации угроз безопасности ПД в ИСПДн «Кадры» ООО «Солнышко» представлена в таблице 8¹⁷.
Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
Таблица 8

№ п/п	Вид нарушителя	Категория нарушителя	Объект воздействия	Доступные интерфейсы	Способы реализации
1	Разработчики программных, программно-аппаратных средств	Внешний	ПО	Удаленное подключение	внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства

7. Актуальные угрозы безопасности информации
7.1 Актуальные техники и тактики реализации угроз.
Из общего состава техник и тактик, приведенных в Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России от 5 февраля 2021 г., исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик.
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности ПД в ИСПДн «Кадры» ООО «Солнышко» представлена в таблице 9 .

Таблица 9 – Расшифровка актуальных техник и тактик реализации УБИ

№	Тактика	Основные техники
1	Сбор информации о системах и сетях	Т1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций
1	Сбор информации о системах и сетях	Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей
2	Получение первоначального доступа к компонентам систем и сетей	Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в сети организации; 2) доступ к интерфейсу электронной почты OutlookWebAccess (OWA) почтового сервера организации

7.2 Перечень актуальных угроз безопасности информации
Далее уже исходя из этих применимых тактик, возможностей нарушителей, объектов воздействия и их интерфейсов и способов реализации определены актуальные угрозы (табл.10).

Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ООО «Солнышко»», актуальными являются следующие угрозы безопасности :
Таблица 10

Группа актуальных угроз	Уровень возможностей нарушителей	Объекты воздействий	Способы реализации	Негативные последствия
Угрозы несанкционированной модификации защищаемой информации	Н2	Прикладное программное обеспечение, Платежная\финансовая информация	С1,С10,С12	П2.2
Угрозы внесения несанкционированных изменений в прикладное программное обеспечение	Н2	Прикладное программное обеспечение.	С1,С2,С10	П2.2
Угрозы сбора информации защищаемой системы	Н2	АРМ клиента ФО, ПО клиентской части VPN или драйвера СКЗИ, Каналы связи, Системное программное обеспечение, Прикладное программное обеспечение	С1,С10,С12	П2.2
Угрозы ошибочных действий	Н2	Прикладное программное обеспечение	С9	П2.2

Экспертная группа:

Начальник отдела ИБ ООО «Солнышко» Серов В.В.

Начальник отдела аудита ФГУП «НПП «Альфа» Васильев Р.А.

Ведущий специалист по ТЗИ ФГУП «НПП «Альфа» Петров В.

1 В случае отсутствия необходимости специальной проверки технических средств пункт не заполняется.

2 В случае отсутствия необходимости применения сертифицированных средств защиты информации пункт не заполняется.

3 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

4 Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

5 По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:

обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями);
обработка персональных данных субъектов, не являющихся работниками вашей организации.

6 По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:

менее 100 000 субъектов;
более 100 000 субъектов;

7 Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн

8 Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа

9 С разграничением прав доступа или без разграничения прав доступа

10 Имеется / не имеется

11 Типовая / специальная

12 Типы актуальных угроз:

угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;

угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;

угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.

13 Для определения Виды рисков (ущерба) и типовых негативных последствий от реализации угроз безопасности информации необходимо пользоваться Приложением 4 Методического документа ФСТЭК России: Методика оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

14 Пример определения объектов воздействия и видов воздействия на них приведен в Приложении 5 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

15 Пример определения возможных целей реализации угроз безопасности информации нарушителями приведен в Приложении 6 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

16 Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации (для ГИС) приведен в Приложении 7 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

17 Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведен в Приложении 7 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.

1 2 3 4 5 6 7