Главная страница
Навигация по странице:

  • Обобщенные возможности источников атак Да/нет

  • Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы)

  • СОСТАВЛЕНО ЭКСПЕРТНОЙ ГРУППОЙ

  • Подпись Дата

    		•

    МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки


    Скачать 122.98 Kb.
    НазваниеУчебный пример для самостоятельной подготовки
    АнкорМОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
    Дата28.06.2022
    Размер122.98 Kb.
    Формат файлаdocx
    Имя файла2. Учебный пример МУ ИСПДн ИМОИБ.docx
    ТипДокументы
    #618251
    страница12 из 12
    1   ...   4   5   6   7   8   9   10   11   12

    Выводы об актуальности угроз безопасности информации


    Для ИСПДн «Название ИСПДн» определены актуальные угрозы, представленные в Таблице №14.
    Таблица №14

    п/п
    Идентификатор УБИ
    Название угрозы

    Банк данных угроз ФСТЭК России (bdu.fstec.ru)

    1
    УБИ.006
    Угроза внедрения кода или данных

    2
    УБИ.008
    Угроза восстановления аутентификационной информации

    3
    УБИ.009
    Угроза восстановления предыдущей уязвимой версии BIOS

    4
    УБИ.012
    Угроза деструктивного изменения конфигурации/среды окружения программ

    5
    УБИ.013
    Угроза деструктивного использования декларированного функционала BIOS

    6
    УБИ.014
    Угроза длительного удержания вычислительных ресурсов пользователями

    7
    УБИ.015
    Угроза доступа к защищаемым файлам с использованием обходного пути

    8
    УБИ.017
    Угроза доступа/перехвата/изменения HTTP cookies

    9
    УБИ.018
    Угроза загрузки нештатной операционной системы

    10
    УБИ.019
    Угроза заражения DNS-кеша




    1. Определение актуальности использования СКЗИ для обеспечения безопасности персональных данных
      и необходимого класса СКЗИ



    Использование СКЗИ для обеспечения безопасности персональных данных необходимо в следующих случаях:

    • если персональные данные подлежат криптографической защите в соответствии с законодательством Российской Федерации;

    • если в информационной системе существуют угрозы, которые могут быть нейтрализованы только с помощью СКЗИ.

    Кроме того, решение о необходимости криптографической защиты персональных данных может быть принято конкретным оператором на основании технико-экономического сравнения альтернативных вариантов обеспечения требуемых характеристик безопасности информации, содержащей, в том числе, персональные данные.

    К случаям, когда угрозы могут быть нейтрализованы только с помощью СКЗИ, относятся:

    • передача персональных данных по каналам связи, не защищенным от перехвата нарушителем передаваемой по ним информации или от несанкционированных воздействий на эту информацию (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования);

    • хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

    Оператором осуществляется / не осуществляется передача персональных данных по информационно-телекоммуникационным сетям общего пользования.

    Оператором осуществляется / не осуществляется хранение персональных данных на носителях информации, несанкционированный доступ к которым со стороны нарушителя не может быть исключен с помощью некриптографических методов и способов.

    Таким образом, необходимо использование / отсутствует необходимость использования средств криптографической защиты информации.

    Дополнительные характеристики ИСПДн «Название ИСПДн» при использовании СКЗИ представлены в Таблице №15.
    Таблица №15



    п/п
    Характеристики
    Описание



    Меры по разграничению доступа в помещения, в которых размещены ресурсы информационной системы, имеющие отношение к криптографической защите персональных данных





    Информационные технологии, базы данных, технические средства, программное обеспечение, используемые в информационной системе для обработки персональных данных и имеющие отношение к криптографической защите персональных данных





    Отчуждаемые носители защищаемой информации, в информационной системе, для которых несанкционированный доступ к хранимой на них информации не может быть исключен без использования криптографических методов и способов





    Область применения СКЗИ в информационной системе





    Цели применения СКЗИ в информационной системе




    При использовании оператором СКЗИ, к объектам защиты, кроме персональных данных, относятся:

    • СКЗИ;

    • среда функционирования СКЗИ;

    • информация, относящаяся к криптографической защите персональных данных, включая ключевую, парольную и аутентифицирующую информацию СКЗИ;

    • документы, дела, журналы, картотеки, издания, технические документы, видео-, кино- и фотоматериалы, рабочие материалы и т.п., в которых отражена защищаемая информация, относящаяся к информационным системам персональным данных и их криптографической защите, включая документацию на СКЗИ и на технические и программные компоненты СФ;

    • носители защищаемой информации, используемые в информационной системе и в процессе криптографической защиты персональных данных, носители ключевой, парольной и аутентифицирующей информации СКЗИ и порядок доступа к ним;

    • используемые информационной системой каналы (линии) связи, включая кабельные системы;

    • помещения, в которых находятся ресурсы информационной системы, имеющие отношение к криптографической защите персональных данных.

    Согласно требованиям методического документа «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» (утверждённые руководством 8 Центра ФСБ России 31 марта 2015 года №149/7/2/6-432) описывается фактическое состояние ИСПДн и обобщенный состав внедренных организационно-технических мер защиты для корректного формирования актуальных угроз безопасности персональных данных при использовании СКЗИ и определения класса применяемых СКЗИ.

    На основании исходных данных об информационных системах, объектах защиты и источниках атак выделены обобщенные возможности источников атак, представленные в Таблице №16.
    Таблица №16
    Обобщенные возможности источников атак
    Да/нет



    Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны
    Да



    Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам (далее – АС), на которых реализованы СКЗИ и среда их функционирования
    Нет



    Возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим доступом к АС, на которых реализованы СКЗИ и среда их функционирования
    Нет



    Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области анализа сигналов линейной передачи и сигналов побочного электромагнитного излучения и наводок СКЗИ)
    Нет



    Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей прикладного программного обеспечения)
    Нет



    Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специалистов в области использования для реализации атак недокументированных возможностей аппаратного и программного компонентов среды функционирования СКЗИ)
    Нет


    В зависимости от положительных ответов заполняется Таблица №17. В соответствии с определенными обобщенными возможностями источниками атак определяются уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы).
    Таблица №17
    Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы)
    Актуальность использования (применения) для построения и реализации атак
    Обоснование отсутствия



    Проведение атаки при нахождении в пределах контролируемой зоны
    Не актуально

    • Проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

    • сотрудники, являющиеся пользователями ИСПДн, но не являющиеся пользователями СКЗИ, проинформированы о правилах работы в ИСПДн и ответственности за несоблюдение правил обеспечения безопасности информации;

    • пользователи СКЗИ проинформированы о правилах работы в ИСПДн, правилах работы с СКЗИ и ответственности за несоблюдение правил обеспечения безопасности информации;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • утверждена правила доступа в помещения, где располагаются СКЗИ, в рабочее и нерабочее время, а также в нештатных ситуациях;

    • утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;

    • осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

    • осуществляется контроль целостности средств защиты.



    Проведение атак на этапе эксплуатации СКЗИ на следующие объекты:

    • документацию на СКЗИ и компоненты СФ;

    • помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ
    Не актуально

    • Проводятся работы по подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • документация на СКЗИ хранится у ответственного за СКЗИ в металлическом сейфе;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • утвержден перечень лиц, имеющих право доступа в помещения, где располагаются СКЗИ;



    Получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации:

    • сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы;

    • сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы;

    • сведений о мерах по разграничению доступа в Помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ
    Не актуально

    • Проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • сведения о физических мерах защиты объектов, в которых размещены ИСПДн, доступны ограниченному кругу сотрудников;

    • сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации



    Использование штатных средств ИСПДн, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
    Не актуально

    • Проводятся работы под подбору персонала;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • сотрудники проинформированы об ответственности за несоблюдение правил обеспечения безопасности информации.

    • осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

    • осуществляется регистрация и учет действий пользователей;



    Физический доступ к СВТ, на которых реализованы СКЗИ и СФ
    Не актуально

    • Проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;



    Возможность воздействовать на аппаратные компоненты СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
    Не актуально

    • Проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;



    Создание способов, подготовка и проведение атак с привлечением специалистов в области анализа сигналов, сопровождающих функционирование СКЗИ и СФ, и в области использования для реализации атак недокументированных (недекларированных) возможностей прикладного ПО
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

    • высокая стоимость и сложность подготовки реализации возможности

    • проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

    • осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

    • осуществляется регистрация и учет действий пользователей;



    Проведение лабораторных исследований СКЗИ, используемых вне контролируемой зоны, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

    • высокая стоимость и сложность подготовки реализации возможности;



    Проведение работ по созданию способов и средств атак в научно- исследовательских центрах, специализирующихся в области разработки и анализа СКЗИ и СФ, в том числе с использованием исходных текстов входящего в СФ прикладного ПО, непосредственно использующего вызовы программных функций СКЗИ
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

    • высокая стоимость и сложность подготовки реализации возможности;



    Создание способов, подготовка и проведение атак с привлечением специалистов в области использования для реализации атак недокументированных (недекларированных) возможностей системного ПО
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;

    • высокая стоимость и сложность подготовки реализации возможности;

    • проводятся работы под подбору персонала;

    • доступ в контролируемую зону, где располагается СКЗИ, обеспечивается в соответствии с порядком доступа в помещения;

    • помещения, в которых располагаются СКЗИ, оснащены входными дверьми с замками, обеспечения постоянного закрытия дверей помещений на замок и их открытия только для санкционированного прохода;

    • представители технических, обслуживающих и других вспомогательных служб при работе в помещениях, где расположены СКЗИ, и сотрудники, не являющиеся пользователями СКЗИ, находятся в этих помещениях только в присутствии сотрудников по эксплуатации;

    • осуществляется разграничение и контроль доступа пользователей к защищаемым ресурсам;

    • осуществляется регистрация и учет действий пользователей;



    Возможность располагать сведениями, содержащимися в конструкторской документации на аппаратные и программные компоненты СФ
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности;



    Возможность воздействовать на любые компоненты СКЗИ и СФ
    Не актуально

    • Не осуществляется обработка сведений, составляющих государственную тайну, а также иных сведений, которые могут представлять интерес для реализации возможности

    Уровень криптографической защиты персональных данных, обеспечиваемой СКЗИ, определяется путем отнесения нарушителя, действиям которого должно противостоять СКЗИ, к конкретному типу, и базируется на подходах, описанных в «Методических рекомендациях по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности» № 149/7/2/6-432 от 31.03.2015 г. и приказе ФСБ от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

    Исходя из анализа исходных данных, приведенных в Таблице №17, можно сделать вывод, что у нарушителя есть возможность самостоятельно осуществлять создание способов атак, подготовку и проведение атак только за пределами контролируемой зоны.

    Для нейтрализации атак, при создании способов, подготовке и проведении которых используются актуальные уточненные возможности нарушителей и направления атак должно применяться СКЗИ класса КС1 и выше.
    СОСТАВЛЕНО ЭКСПЕРТНОЙ ГРУППОЙ


    Наименование

    организации
    Должность
    Фамилия, Имя,

    Отчество
    Подпись
    Дата

    Наименование предприятия
    Должность
    Фамилия И.О.






    Наименование предприятия
    Должность
    Фамилия И.О.






    Наименование предприятия
    Должность
    Фамилия И.О.









    город

    год
    1   ...   4   5   6   7   8   9   10   11   12

    написать администратору сайта