Главная страница

ПЗ Модель угроз. ИБ512. Меры и средства защиты конфиденциальной


Скачать 3.66 Mb.
НазваниеМеры и средства защиты конфиденциальной
АнкорПЗ Модель угроз. ИБ512
Дата29.01.2023
Размер3.66 Mb.
Формат файлаpdf
Имя файлаПЗ Модель угроз. ИБ512.pdf
ТипДокументы
#910525

Меры и средства
защиты
конфиденциальной
информации от
несанкционированного
доступа
academyit.ru

Разработка модели
угроз безопасности
информации
(практическое задание)
academyit.ru

Модель угроз безопасности
информации
Модель угроз (безопасности информации):
физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.
ГОСТ Р 50922-2006
Модель угроз безопасности информации
должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения
угроз безопасности информации
и разработки
модели угроз безопасности информации
применяются методические документы, разработанные и утвержденные ФСТЭК России.
Приказ ФСТЭК России от 11 февраля 2013 г. N 17

Порядок оценки угроз безопасности
информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
Оценка угроз безопасности информации
проводится в целях определения угроз безопасности информации, реализация
(возникновение) которых возможна в системах и сетях с заданной архитектурой и в условиях их функционирования – актуальных угроз безопасности информации.
Основные задачи
, решаемые в ходе оценки угроз безопасности информации:

определение негативных последствий, которые могут наступить от реализации
(возникновения) угроз безопасности информации;

инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;

определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;

оценка способов реализации (возникновения) угроз безопасности информации;

оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;

оценка сценариев реализации угроз безопасности информации в системах и сетях.

Порядок оценки угроз безопасности
информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
а) исходные данные для оценки угроз безопасности
информации:
общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации
, разрабатываемые
ФСТЭК России в соответствии с Положением о ФСТЭК, утвержденного Указом Президента РФ от 16 августа 2004 г.
№ 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
б) описания векторов (шаблоны) компьютерных атак
, содержащиеся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK,
OWASP, STIX, WASC и др.);
в) документация на системы и сети
(а именно: техническое задание на создание систем и сетей, частное техническое задание на создание системы защиты, программная (конструкторская) и эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах, а также иные документы на системы и сети, разработка которых предусмотрена требованиями по защите информации
(обеспечению безопасности) или национальными стандартами);

Порядок оценки угроз безопасности
информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
г) договоры, соглашения или иные документы
, содержащие условия использования информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг
(в случае функционирования систем и сетей на базе информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры);
д) нормативные правовые акты Российской Федерации
, в соответствии с которыми создаются и функционируют системы и сети, содержащие в том числе описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим;
е) технологические, производственные карты или иные документы
, содержащие описание управленческих, организационных, производственных и иных основных процессов (бизнес-процессов) в рамках выполнения функций (полномочий) или осуществления видов деятельности обладателя информации, оператора (далее –
основные (критические) процессы);
ж) результаты оценки рисков (ущерба)
, проведенной обладателем информации и (или) оператором.

Порядок оценки угроз безопасности
информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
Результаты оценки угроз
безопасности информации
отражаются в модели угроз
, которая представляет собой описание систем и сетей и актуальных угроз безопасности информации.
Рекомендуемая структура модели угроз безопасности информации приведена в
приложении 3 к
Методике оценки угроз
безопасности информации, 05.02.

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
1. Общие положения
Раздел «Общие положения» содержит
:

назначение и область действия документа;

нормативные правовые акты, методические документы, национальные стандарты, используемые для оценки угроз безопасности информации и разработки модели угроз;

наименование обладателя информации, заказчика, оператора систем и сетей;

подразделения, должностные лица, ответственные за обеспечение защиты информации (безопасности) систем и сетей;

наименование организации, привлекаемой для разработки модели угроз безопасности информации (при наличии).

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
2. Описание систем и сетей и их характеристика как объектов защиты
Раздел «Описание систем и сетей и их характеристика как объектов защиты»
содержит:

наименование систем и сетей, для которых разработана модель угроз безопасности информации;

класс защищенности, категория значимости систем и сетей, уровень защищенности персональных данных;

нормативные правовые акты Российской Федерации, в соответствии с которыми создаются и (или) функционируют системы и сети;

назначение, задачи (функции) систем и сетей, состав обрабатываемой информации и ее правовой режим;

основные процессы (бизнес-процессы) обладателя информации, оператора, для обеспечения которых создаются (функционируют) системы и сети;

состав и архитектуру систем и сетей, в том числе интерфейсы и взаимосвязи компонентов систем и сетей;

Рекомендуемая структура модели угроз
безопасности информации
2. Описание систем и сетей и их характеристика как объектов защиты
Продолжение раздела «Описание систем и сетей и их характеристика как
объектов защиты»
содержит:

описание групп внешних и внутренних пользователей систем и сетей, уровней их полномочий и типов доступа (в состав групп пользователей включаются все пользователи, для которых требуется авторизация при доступе к информационным ресурсам, и пользователи, для которых не требуется авторизация (например, предоставлен доступ к сайту без прохождения авторизации);

описание внешних интерфейсов и взаимодействий систем и сетей с пользователями (в том числе посредством машинных носителей информации, средств ввода-вывода, веб-приложений), иными системами и сетями, обеспечивающими системами, в том числе с сетью «Интернет»;

информацию о функционировании систем и сетей на базе информационно- телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры, о модели предоставления вычислительных услуг, о распределении ответственности за защиту информации между обладателем информации, оператором и поставщиком вычислительных услуг, об условиях использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (при наличии).
К модели угроз безопасности информации могут прилагаться схемы и рисунки, иллюстрирующие состав и архитектуру систем и сетей, интерфейсы взаимодействия компонентов системы и сети, группы пользователей, а также другие поясняющие материалы.

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
3. Возможные негативные последствия от реализации (возникновения)
угроз безопасности информации
Раздел «Возможные негативные последствия от реализации (возникновения)
угроз безопасности информации»
содержит:

описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов;

описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба).

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
4. Возможные объекты воздействия угроз безопасности информации
Раздел «Возможные объекты воздействия угроз безопасности информации»
содержит:

наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора;

описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям.

К модели угроз безопасности информации может прилагаться схема с отображением объектов воздействия и их назначения в составе архитектуры систем и сетей.

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
5. Источники угроз безопасности информации
Раздел «Источники угроз безопасности информации»
содержит:

характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации;

категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации;

описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей.

К модели угроз безопасности информации могут прилагаться рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы.

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
6. Способы реализации (возникновения) угроз безопасности информации
Раздел «Способы реализации (возникновения) угроз безопасности информации»
включает:

описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий;

описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением типов логических, физических интерфейсов объектов воздействия, в том числе требующих физического доступа к ним, а также соответствующие им способы реализации угроз безопасности информации.

Рекомендуемая структура модели угроз
безопасности информации
МД ФСТЭК России. Методика оценки угроз безопасности информации, 05.02.2021
7. Актуальные угрозы безопасности информации
Раздел «Актуальные угрозы безопасности информации»
включает:

перечень возможных (вероятных) угроз безопасности информации для соответствующих способов их реализации и уровней возможностей нарушителей;

описание возможных сценариев реализации угроз безопасности информации;

выводы об актуальности угроз безопасности информации.
К модели угроз безопасности информации может прилагаться схема с отображением сценариев реализации угроз безопасности информации.

Методика разработки
модели угроз
для информационной
системы персональных
данных (ИСПДн)

Определение угроз безопасности ПДн
o
Базовая модель угроз безопасности
ПДн при их обработке в ИСПДн,
ФСТЭК, 2008.
o
Методика оценки угроз безопасности информации, ФСТЭК,
2021.
o
Банк данных угроз безопасности информации http://bdu.fstec.ru/threat o
………

НМД ФСТЭК России
Базовая модель угроз безопасности персональных данных при их обработке в ИСПДн, ФСТЭК, 2008.
Методика оценки угроз безопасности информации, ФСТЭК, 2021
Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн (приказ ФСТЭК от 18 февраля 2013 г. N 21
МД ФСТЭК. Меры защиты информации в государственных информационных системах от 11.02.2014.

Определение угроз безопасности ПДн
Разрабатываем Модель угроз безопасности персональных данных, обрабатываемых в информационной системе персональных данных
(ИСПДн)

Последовательность разработки
Модели угроз
безопасности персональных данных,
обрабатываемых в информационной системе
персональных данных (ИСПДн)
1. Общие положения
2. Описание систем и сетей и их характеристика как объектов защиты
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
7. Актуальные угрозы безопасности информации

1. Общие положения
Модель угроз безопасности информации для ИСПДн ООО
«Организация» разработана на основании следующих документов:
ГОСТ Р 51275-2006 Защита информации. Объект информатизации.
Факторы, воздействующие на информацию;
«Базовая модель угроз безопасности персональных данных при их обработке в
информационных системах персональных данных»,
утвержденная Заместителем директора ФСТЭК России 15 февраля 2008 г;
«Методика оценки угроз безопасности информации», утвержденная
Заместителем директора ФСТЭК России 5 февраля 2021 г.
Для разработки модели угроз безопасности информации на договорной основе была привлечена организация - ФГУП «НПП «Бэтта»,
аккредитованная ФСТЭК России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации №СЗИ
RU.082/2.В29.274, Лицензия по ТЗКИ - регистрационный №0019 от 31
октября 2002г), совместно с начальником отдела по информационной безопасности (ИБ) ООО «Организация».

2. Описание систем и сетей и их
характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы
Есенина 41
(
центр печати)
Есенина 48
(
центральный офис)
Сеть международного информационного обмена
Internet
ЛВС ООО
«Организация»
МЭ, Шлюз D-Link DFL-860
HUB
HUB
Медиаконв-ор
Оптоволокно
Медиаконв-ор
РС2 ПДн (перепечатка)
РС1 ПДн (сервер печати)
Принтер 1
Принтер 2
Принтер 3
ЛВС ООО
«Организация»
Описание ИСПДн ООО «Организация» представлена в виде локальной вычислительной сети (ЛВС), объединенной в единую информационную систему средствами связи c использованием технологии удаленного доступа, имеющую выход в сеть международного информационного обмена (СМИО) «Интернет»…….
Рис. 1 - Схема ЛВС ООО «Организация»

2. Описание систем и сетей и их
характеристика как объектов защиты
2.2 Описание процессов передачи информации
В рабочем процессе ОАО «НСК» предоставляет персональные данные в ООО
«Организация» в виде файлов формата DBF, данные передаются через открытые каналы СМИО «Интернет» по электронной почте в архиве WinRar.
Обработка персональных данных в ИСПДн ООО «Организация» ведётся на рабочей станции №1 (сервер печати)…..
Есенина 48
(
центральный офис)
Сеть международного информационного обмена
Internet
ЛВС ОАО «НСК»
МЭ, Шлюз D-Link
РС2 ПДн (перепечатка)
РС1 ПДн (сервер печати)
Принтер 1
Принтер 2
Принтер 3 1.
Отправка по email файла DBF в архиве
WinRar
БД
2.
Передача файла DBF на сервер печати
3.
Загрузка ПДн в ПО
«Диспетчер печати»
4.
Распечатка персональных данных
5.
Перепечатка квитанций
Есенина 41
(
центр печати)
ЛВС ООО «Организация»
Рис. 2 - Схема потоков персональных данных в ИСПДн ООО «Организация».

2. Описание систем и сетей и их
характеристика как объектов защиты
2.3 Перечень программных средств, используемых для обработки персональных данных в ООО «Организация»
Обработка персональных данных в ИСПДн ООО «Организация» ведётся в специализированном программном обеспечении
«Диспетчер печати».
Перечень имеющихся программных средств, используемых для обработки персональных данных приведены в таблице 1.

2. Описание систем и сетей и их
характеристика как объектов защиты
2.4 Перечень структурных подразделений работающих с БД ПДн
ООО «Организация»
Перечень структурных подразделений работающих с БД ПДн отображен в таблице 2.

2. Описание систем и сетей и их
характеристика как объектов защиты
2.5 Анализ организационных мер защиты ИСПДн
Описание (пример заполнения подраздела): В ходе проведения проверки наличия и полноты методической и организационно- распорядительной документации прямо или косвенно относящейся к защите персональных данных было установлено, что документы по данной тематике не разрабатывались.
В зданиях, где находятся помещения ООО «Организация», все двери помещений оборудованы врезными замками. Доступ в помещения,
где расположены рабочие станции, ограничен, войти могут только сотрудники.
Пожарная и охранная сигнализация установлена во всех помещениях,
где обрабатываются персональные данные.
Охрана объекта осуществляется частным охранным предприятием на договорной основе.

2. Описание систем и сетей и их
характеристика как объектов защиты
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
Согласно представленному
«Технологическому процессу обработки информации…» ИСПДн предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в
ИСПДн может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации.
Для осуществления технологического процесса обработки информации в ИСПДн используется программное обеспечение (ПО),
перечисленное в таблице №2.
ИСПДн предназначена для работы в многопользовательском режиме,
доступ исполнителей к
работе осуществляется по утвержденному списку, пользователи имеют разные права доступа к информации,
ИСПДн имеет подключения к
открытым информационным системам, передача персональных данных по открытым каналам связи осуществляется c использованием средств криптографической защиты…….

2. Описание систем и сетей и их
характеристика как объектов защиты
2.7 Результаты классификации ИСПДн ООО «Организация»
В соответствии с требованиями Постановления Правительства РФ от
01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», выявлено, что тип актуальных угроз безопасности персональных данным ООО
«Организация» относится к угрозам 3-го типа – угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе…
В соответствии с требованиями Приказа ФСТЭК России от 18.02.2013г. N 21
«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» проведена классификация по уровням защищенности персональных данных при их обработке в информационных системах персональных данных в ООО «Организация», таблица 3.

2. Описание систем и сетей и их
характеристика как объектов защиты
2.7 Результаты классификации ИСПДн ООО «Организация»
Продолжение подраздела 2.7.

2. Описание систем и сетей и их
характеристика как объектов защиты
2.7 Результаты классификации ИСПДн ООО «Организация»
Продолжение подраздела 2.7.
По результатам анализа исходных данных информационной системы персональных данных,
анализа актуальности угроз безопасности в
разработанной частной модели угроз ООО «Организация», информационной системе персональных данных ООО «Организация» присвоен 4 уровень
защищенности.

3. Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации
К основным негативным последствиям от реализации угроз безопасности информации (УБИ) определено хищение денежных средств (рис. 3). Другие виды последствий также могут быть, но как правило они несут на несколько порядков меньший ущерб.

4. Возможные объекты воздействия угроз
безопасности информации
Актуальные объекты воздействия, интерфейсы доступа и возможные виды воздействия на них изображены на рис. 4.

4. Возможные объекты воздействия угроз
безопасности информации

5. Источники угроз безопасности
информации
Актуальные цели нарушителей, возможные негативные последствия, вид нарушителя, его категория и возможности изображены на рис. 5.

5. Источники угроз безопасности
информации

6. Способы реализации (возникновения)
угроз безопасности информации
Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации УБИ (рис.6).

6. Способы реализации (возникновения)
угроз безопасности информации

7. Актуальные угрозы безопасности
информации
7.1 Актуальные техники и тактики реализации угроз
Из общего состава техник и тактик, приведенных в Методике, исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик (рис. 7.)
Рис.7

7. Актуальные угрозы безопасности
информации
7.1 Актуальные техники и тактики реализации угроз

7. Актуальные угрозы безопасности
информации
7.1 Актуальные техники и тактики реализации угроз
Продолжение таблицы 7

7. Актуальные угрозы безопасности
информации
7.2 Перечень актуальных угроз безопасности информации
Далее уже исходя из этих применимых тактик, возможностей нарушителей, объектов воздействия и их интерфейсов и способов реализации определены актуальные угрозы (рис. 8).

Окончание Модели угроз безопасности
персональных данных, обрабатываемых
в ИСПДн

ПРИСТУПАЕМ!

Спасибо
за внимание!
Центральный офис:
Москва, Варшавское шоссе 47, корп. 4, 10 этаж
Тел: +7 (495) 150-9600
e-mail: academy@academyit.ru
Сайт: academyit.ru


написать администратору сайта