Базовая модель угроз безопасности персональных данных

Остались вопросы?


Напишите нам и мы вам ответим Демьян Раменский Руководитель направления Хостинг ИСПДн CorpSoft24 Нажимая на кнопку «Отправить», вы даёте согласие на обработку своих персональных данных ОТПРАВИТЬ Ваше сообщение успешно отправлено Мы ответим вам в ближайшее время / 127473, РФ, Москва, ул. Селезневская, д.32 © 2010-2019 «CorpSoft24» — облачные сервисы и услуги

Документ, который ждали

25 мая 2015 в 11:22 Майские праздники подарили нам не только весьма спорный проект Постановления Правительства от Роскомнадзора, но и документ, которого специалисты ждали очень давно.

ФСТЭК России опубликовала на своем сайте проект документа «» и соответствующее ему . Документ после доработки и утверждения станет обязательным для исполнения государственными и муниципальными органами.

Именно для них документ описывает методику определения угроз, актуальных для конкретной организации.

Практика показывает, что в большинстве случаев изменения в документе не будут принципиальными, поэтому ознакомиться с ним нужно заранее. Теоретически для остальных организаций, включая и операторов ПДн, данная методика не является обязательной, но поскольку на практике альтернатив (которые к тому же нужно будет обосновывать Роскомнадзору) не будет, то использовать придется именно ее. Что позволяет защитить ИС, созданная на основе методики?

Документ устанавливает единый методический подход к определению угроз безопасности информации и разработке моделей угроз безопасности информации в государственных информационных системах (далее — информационные системы), защита информации в которых обеспечивается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г.

№ 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. № 28608). По решению оператора персональных данных Методика может применяться для определения… безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21 (зарегистрирован Минюстом России 14 мая 2013 г., рег.

№ 28375). Методика не распространяется на определение угроз безопасности информации, составляющей государственную тайну. Соответственно, Методика может применяться для оценки угроз безопасности в государственных информационных системах, а также всеми компаниями и организациями, защищающими персональные данные. И не может применяться для оценки угроз безопасности информации, составляющей государственную тайну.

Таким образом, из сферы действия Методики по непонятной причине выпали иные типы информации, которые можно отнести к категориям коммерческой тайны / банковской тайны / служебной тайны / ДСП и т. д. А ведь по сути эти типы информации для компаний зачастую куда важнее, чем те же ПДн. Также Методика никак не регламентирует вопросы защиты информации, располагающейся за пределами системы защиты информации (например, на личных устройствах сотрудников).

В наше время, когда большинство сотрудников компаний могут со своего смартфона может получать доступ к ресурсам компании — такой подход видится странным.

Ну и заодно отметим, что ФСТЭК России четко различает сферы действия Приказа № 17 и Приказа № 21 — по сути, для защиты персональных данных в государственных информационных системах нужно применять оба этих приказа, что в общем-то следует и из текста Федерального закона № 152-ФЗ. Кто может пользоваться методикой?

Методика предназначена для:

  1. организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по аттестации (оценке соответствия) информационных систем требованиям о защите информации.
  2. организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию (проектированию) информационных систем;
  3. органов государственной власти, органов местного самоуправления и организаций, являющихся в соответствии с законодательством Российской Федерации обладателями информации, заказчиками и (или) операторами информационных систем;
  4. организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по защите информации в ходе создания (проектирования) и эксплуатации информационных систем;

По факту под действие методики подпадают все типы компаний и организаций.

Термины и определения В Методике используются термины и их определения, установленные национальными стандартами в области защиты информации. В других публикациях уже отмечалось, что разнобой в терминах и определениях различных документов нашего законодательства не позволяет корректно определять даже цели защиты информации. Сноска на национальные стандарты — это однозначно плюс, но лучше бы было привести в виде ссылок или приложения конкретный список связанных документов.

Во избежание. Как оцениваются угрозы?

Оценка угроз безопасности информации проводится экспертным методом. … должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы.

… должны быть определены физические и логические границы информационной системы, в которых принимаются и контролируются меры защиты информации, за которые ответственен оператор, а также определены объекты защиты и сегменты информационной системы. Процесс определения угроз безопасности информации организуется подразделением оператора, назначенным ответственным за защиту информации в информационной системе.

В качестве источников угроз безопасности информации могут выступать субъекты (физические лица, организации, государства) или явления (техногенные аварии, стихийные бедствия, иные природные явления).

Угроза безопасности информации является актуальной (УБИjА), если для информационной системы с заданными структурно-функциональными характеристиками и особенностями функционирования существует вероятность реализации рассматриваемой угрозы нарушителем с соответствующим потенциалом и ее реализация приведет к неприемлемым негативным последствиям (ущербу) от нарушения конфиденциальности, целостности или доступности информации. При отсутствии статистических данных о реализации угроз безопасности информации (возникновении инцидентов безопасности) в информационной системе и (или) однотипных информационных системах, актуальность угрозы безопасности информации определяется на основе оценки возможности реализации угрозы безопасности информации (Yj) В методике приведены рекомендации по формированию экспертной группы и проведению экспертной оценки.

Отметим, что в число угроз вошли угрозы, связанные с:

  1. низким качеством (надежностью) технических, программных или программно-технических средств;
  2. низким качеством (надежностью) сетей связи и (или) услуг связи;
  3. повышением привилегий, исчерпанием вычислительных ресурсов, недоступностью обновления программного обеспечения и т. д. — угрозы, создающие условия для реализации прямых угроз безопасности информации.
  4. отсутствием или низкой эффективностью систем резервирования или дублирования программно-технических и технических средств;
  5. низким качеством (надежностью) инженерных систем (кондиционирования, электроснабжения, охранных систем и т. д.);
  6. низким качеством обслуживания со стороны обслуживающих организаций и лиц;

Методика также указывает, что «следует, в первую очередь, уделять внимание оценке антропогенных угроз, связанных с несанкционированными (неправомерными) действиями субъектов по нарушению безопасности (конфиденциальности, целостности, доступности) информации, в том числе целенаправленными воздействиями программными (программно-техническими) средствами на информационные системы, осуществляемые в целях нарушения (прекращения) их функционирования».

Для идентификации угроз безопасности информации в информационной системе определяются:

  1. объекты информационной системы, на которые направлена угроза безопасности информации (объекты воздействия);
  2. возможности (тип, вид, потенциал) нарушителей, необходимые им для реализации угроз безопасности информации;
  3. результат и последствия от реализации угроз безопасности информации.
  4. способы (методы) реализации угроз безопасности информации;
  5. уязвимости, которые могут использоваться при реализации угроз безопасности информации (включая специально внедренные программные закладки);

Методика требует на основе имеющихся данных проводить оценку вероятности реализации угроз. При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий:

  1. нарушитель может действовать один или в составе группы нарушителей;
  2. угрозы могут быть реализованы в любое время и в любой точке информационной системы (на любом узле или хосте);
  3. для достижения своей цели нарушитель выбирает наиболее слабое звено информационной системы.
  4. в отношении информационной системы внешний нарушитель может действовать совместно с внутренним нарушителем;

Пересмотр (переоценка) угроз безопасности информации осуществляется как минимум в случаях:

  1. изменения конфигурации (состава основных компонентов) и особенностей функционирования информационной системы, следствием которых стало возникновение новых угроз безопасности информации;
  2. изменения требований законодательства Российской Федерации о защите информации, нормативных правовых актов и методических документов, регламентирующих защиту информации;
  3. выявления уязвимостей, приводящих к возникновению новых угроз безопасности информации или к повышению возможности реализации существующих;
  4. появления сведений и фактов о новых возможностях нарушителей.

Рекомендуется пересматривать угрозы безопасности информации не реже одного раза в год.

Второй пункт методики отсылает нас к старому спору

«если я поменял видеокарту — требует ли это пересмотра модели угроз?»

. К плюсам методики можно отнести появление в ней требований по оценке возможностей нарушителей.

Угрозы безопасности информации в информационной системе могут быть реализованы следующими видами нарушителей:

  1. администраторы информационной системы и администраторы безопасности;
  2. бывшие работники (пользователи).
  3. конкурирующие организации;
  4. пользователи информационной системы;
  5. разработчики, производители, поставщики программных, технических и программно-технических средств;
  6. лица, обеспечивающие функционирование информационных систем или обслуживающие инфраструктуру оператора (администрация, охрана, уборщики и т.д.);
  7. террористические, экстремистские группировки;
  8. преступные группы (криминальные структуры);
  9. лица, привлекаемые для установки, наладки, монтажа, пусконаладочных и иных видов работ;
  10. внешние субъекты (физические лица);
  11. специальные службы иностранных государств (блоков государств);

Список, надо отметить, правильно указывает на необходимость оценки угроз со стороны потенциальных нарушителей, не являющихся сотрудниками компании.

В качестве возможных целей (мотивации) реализации нарушителями угроз безопасности информации в информационной системе могут быть:

  1. любопытство или желание самореализации;
  2. реализация угроз безопасности информации из мести;
  3. реализация угроз безопасности информации по идеологическим или политическим мотивам;
  4. выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды;
  5. нанесение ущерба государству, отдельным его сферам деятельности или секторам экономики;
  6. организация террористического акта;
  7. причинение имущественного ущерба путем мошенничества или иным преступным путем;
  8. получение конкурентных преимуществ;
  9. дискредитация или дестабилизация деятельности органов государственной власти, организаций;
  10. реализация угроз безопасности информации непреднамеренно из-за неосторожности или неквалифицированных действий.
  11. внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки;

Также очень верный список.

Практика показывает, что организация может попасть под удар случайно.

В качестве примера можно привести взломы компаний в результате скандала вокруг карикатур во французском журнале. В зависимости от имеющихся прав доступа нарушители могут иметь легитимный физический (непосредственный) и (или) логический доступ к компонентам информационной системы и (или) содержащейся в них информации или не иметь такого доступа. Анализ прав доступа проводится, как минимум, в отношении следующих компонент информационной системы:

  1. программных, программно-технических и технических средств обработки информации;
  2. машинных носителей информации, выведенных из эксплуатации;
  3. беспроводных устройств;
  4. устройств ввода/вывода (отображения) информации;
  5. активного (коммутационного) и пассивного оборудования каналов связи;
  6. каналов связи, выходящих за пределы контролируемой зоны.
  7. съемных машинных носителей информации;

Результаты оценки возможностей нарушителей включаются в модель нарушителя, которая является составной частью (разделом) модели угроз безопасности информации и содержит:

  1. типы, виды и потенциал нарушителей, которые могут обеспечить реализацию угроз безопасности информации;
  2. цели, которые могут преследовать нарушители каждого вида при реализации угроз безопасности информации;
  3. возможные способы реализации угроз безопасности информации.

Вышеприведенные цитаты приведены с сохранением орфографии и пунктуации проекта документа. Для примера посмотрим, на что способны админы: Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации (подтверждение статуса).

Месть за ранее совершенные действия.

Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды. Непреднамеренные, неосторожные или неквалифицированные действия. О работе экспертной группы Одновременно самое правильное и самое утопичное место документа: Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.
О работе экспертной группы Одновременно самое правильное и самое утопичное место документа: Под вероятностью реализации угрозы безопасности информации понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация j-ой угрозы безопасности информации в информационной системе с заданными структурно-функциональными характеристиками и особенностями функционирования.

Вводятся три вербальные градации этого показателя:

  1. средняя вероятность — существуют предпосылки к реализации j-ой угрозы безопасности информации, зафиксированы случаи реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на возможность реализации j-ой угрозы безопасности информации, существуют признаки наличия у нарушителя мотивации для реализации такой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в год;
  2. высокая вероятность — существуют объективные предпосылки к реализации j-ой угрозы безопасности информации, существует достоверная статистика реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности) или имеется иная информация, указывающая на высокую возможность реализации j-ой угрозы безопасности информации, у нарушителя имеются мотивы для реализации j-ой угрозы, частота реализации j-ой угрозы — чаще 1 раза в год.
  3. низкая вероятность — отсутствуют объективные предпосылки к реализации j-ой угрозы безопасности информации, отсутствует требуемая статистика по фактам реализации j-ой угрозы безопасности информации (возникновения инцидентов безопасности), отсутствует мотивация для реализации j-ой угрозы, возможная частота реализации j-ой угрозы не превышает 1 раза в 5 лет;

В случае отсутствия требуемых данных для оценки вероятности реализации угрозы безопасности информации или наличия сомнений в объективности экспертных оценок при определении вербальных градаций вероятности реализации угроз безопасности информации, актуальность j-ой угрозы безопасности информации определяется на основе оценки возможности ее реализации (Yj).

Возможность реализации j-ой угрозы безопасности информации (Yj) оценивается исходя из уровня защищенности информационной системы (Y1) и потенциала нарушителя. При определении угроз безопасности информации на этапе создания информационной системы в случае, когда меры защиты информации не реализованы или не проведена оценка их достаточности и эффективности, оценка возможности реализации j-ой угрозы безопасности информации (Yj) проводится относительно уровня проектной защищенности информационной системы. Далее в Методике приводится таблица со списком узлов защищаемой сети и соответствующими им уровнями защищенности.

Уровней тоже три — высокий, средний и низкий.

Также оценке подлежат последствия реализации угрозы, в том числе экономические, социальные, политические и т.

д. Для примера посмотрим, что относится к социальным последствиям:

  1. Организация пикетов, забастовок, митингов и других акций.
  2. Появление негативных публикаций в общедоступных источниках.
  3. Другие последствия, приводящие к нарастанию социальной напряженности в обществе.
  4. Создание предпосылок для нанесения вреда здоровью граждан.
  5. Возможность нарушения функционирования объектов обеспечения жизнедеятельности граждан.
  6. Невозможность (прерывание) предоставления социальных услуг (сервисов).
  7. Увольнения.
  8. Увеличение количества жалоб в органы государственной власти или органы местного самоуправления.

Смешно? Между прочим, зря. Взлом сайта и размещение на нем соответствующей информации вполне может привести ко всему перечисленному. В состав экспертной группы для определения угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций):

  1. от подразделений обладателей информации, содержащейся в информационной системе;
  2. от подразделений оператора информационной системы;
  3. от операторов взаимодействующих внешних информационных систем (по согласованию).
  4. от подразделения по защите информации;
  5. от разработчика информационной системы;
  6. от лиц, предоставляющих услуги по обработке информации;

В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в информационной системе, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и (или) в области защиты информации.

Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения.

Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении. Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы).

При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы. Особо отмечается, что: существуют субъективные факторы, связанные с психологией принятия решений человеком.

Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Ну и последнее В связи с утверждением настоящего методического документа не применяется для определения угроз безопасности информации Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (ФСТЭК России, 2008 г.). Подведем итог Документ получился добротный, качественный, но в большинстве случаев — бесполезный.

Подведем итог Документ получился добротный, качественный, но в большинстве случаев — бесполезный. Почему?

  1. Основой для работы служат список угроз безопасности из банка данных, поддерживаемых ФСТЭК России (ubi.fstec.ru), плюс данные на основе мониторинга новостей. Методика применяется совместно с банком данных угроз безопасности информации, сформированным ФСТЭК России (ubi.fstec.ru), а также базовыми и типовыми моделями угроз безопасности информации в информационных системах различных классов и типов, разрабатываемых ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. Определение угроз, связанных со стихийными бедствиями и природными явлениями, осуществляется в соответствии с правилами, установленными уполномоченными федеральными органами исполнительной власти, национальными стандартами и находятся за рамками настоящей Методики. Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации. В этом случае потенциал нарушителя, возможные уязвимости, способы реализации угрозы безопасности информации и последствия от ее реализации определяются для каждой угрозы безопасности информации. Идея также здравая и одновременно утопичная. Во-первых, времени на мониторинг прессы и новостных сайтов у компаний нет. Тем более сотрудники компании не могут оценить, насколько описание угрозы в новости соответствует реальной угрозе конкретной компании. Сотрудники компании также не могут оценить и полноту банков угроз. Так, по отзывам на момент создания вышеупомянутого банка угроз в нем отсутствовали угрозы для Android. Ну и последний гвоздь — сотрудники компании не могут знать, действительно ли закрыта конкретная уязвимость очередным патчем. Случаев, когда в реальности закрытия уязвимости не происходило — достаточно много. Нельзя опираться и на новости. Не будем говорить о том, что компании могут выпускать новости для собственного пиара, преувеличивая ту или иную угрозу. Сколько записей добавляется в вирусные базы ежедневно? Можно выбрать любой случайно взятый день на и оценить проблему. Вендоры публикуют новости об интересных по какой-то причине угрозах, но не могут описать все. А пользователи, естественно, не могут прочитать и проанализировать все. Пример? Сейчас много говорится о шифровальщиках. В вышеприведенных скриншотах шифровальщики, добавленные в базу за день, выделены красным — все остальные угрозы дня, скорее всего, не попали в сферу внимания пользователей. Еще одна проблема — финансовая. Анализ угроз нужно проводить постоянно. Определение угроз безопасности информации должно носить систематический характер и осуществляться как на этапе создания информационной системы и формирования требований по ее защите, так и в ходе эксплуатации информационной системы. Это, конечно, верно — информация о новых уязвимостях появляется постоянно. Но вот вопрос: можно ли в реальности оперативно получать деньги на новые средства защиты или их замену? По факту планы на выделение средств составляются на месяцы и кварталы вперед. И все это время уязвимость останется незакрытой — и что толку, что мы будем о ней знать?
  2. Все проблемы рассматриваются в документе на теоретическом уровне; какие-либо практические рекомендации и примеры полностью отсутствуют. Для подавляющего количества организаций составление экспертной группы, да еще с привлечением разработчиков — полнейшая . В лучшем случае всю процедуру придется проделать системному администратору, а в худшем — лицу, которое назначили ответственным за защиту персональных данных. Как составить свой список угроз? Как рассчитать ущерб?

Куда проще и правильнее сразу предположить, что уязвимо всё, уязвимости есть везде, и планировать систему защиты исходя из этого. Как на практике и происходит.

В противном случае созданная на основе уже известных проблем система устареет с появлением первой же свежей уязвимости. Также мнение о Методике высказано , и . Также стоит заглянуть . В статье указаны типичные ошибки при составлении модели угроз.

Приведу только одну цитату: анализ угроз в ручную оператором становится фактически нереальным либо нерентабельным. Единственные возможные варианты:

  1. Применение оператором средств автоматизации расчетов актуальности угроз
  2. Обращение за услугой по моделированию угроз к компании – консультанту, которые так-же либо будут вынуждены использовать средства автоматизации расчетов, либо заниматься копипастированием документов без проведения расчетов

Теги: Добавить метки Укажите причину минуса, чтобы автор поработал над ошибками Отправить анонимно Пометьте публикацию своими метками Метки лучше разделять запятой. Например: программирование, алгоритмы Сохранить Умные столы на работе и дома

  1. 8,6k
  2. 7,3k
  3. Мегапост
  4. 2,4k
  5. 749
  6. 43,5k
  7. 69,8k
  1. 48,1k
  2. 105
  3. +12

Выберите рекомендации для отправки автору: Указан только блог Орфографические ошибки Пунктуационные ошибки Отступы Текст-простыня Короткие предложения Смайлики Много форматирования Картинки Ссылки Оформление кода Рекламный характер Отправить Нарушение Опишите суть нарушения Отправить Пользователь Поделиться публикацией

  1. 86 18,4k 30
  2. 3 3k 42
  3. 44 23,5k 188
  4. 28 9k 21

AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации

303 КБ97148 196 КБ10116 Федеральная служба по техническому и экспортному контролю Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.

Примечание: пометка «для служебного пользования» снята Решением ФСТЭК России от 16 ноября 2009 г. В книге всего пронумеровано 10 страниц, для служебного пользования Введение Методика определения актуальных угроз безопасности персональных данных (ПДн) при их обработке в информационных системах персональных данных (ИСПДн) разработана ФСТЭК России на основании Федерального закона от 27 июля 2006 г.

N 152-ФЗ «О персональных данных» и «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781, с учетом действующих нормативных документов ФСТЭК России по защите информации. Методика предназначена для использования при проведении работ по обеспечению безопасности персональных данных при их обработке в следующих автоматизированных информационных системах персональных данных: государственных или муниципальных ИСПДн; ИСПДн, создаваемых и (или) эксплуатируемых предприятиями, организациями и учреждениями (далее – организациями) независимо от форм собственности, необходимых для выполнения функций этих организаций в соответствии с их назначением; ИСПДн, создаваемых и используемых физическими лицами, за исключением случаев, когда последние используют указанные системы исключительно для личных и семейных нужд.

Документ предназначен для специалистов по обеспечению безопасности информации, руководителей организаций и предприятий, организующих и проводящих работы по обработке ПДн в ИСПДн.

1. Общие положения Под угрозами безопасности ПДн при их обработке в ИСПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных. В соответствии со статьей 19 Федерального закона N152-ФЗ от 27 июля 2006 г. «О персональных данных» ПДн должны быть защищены от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Угрозы безопасности ПДн при их обработке в ИСПДн могут быть связаны как с непреднамеренными действиями персонала ИСПДн и(или) потребителей, пользующихся услугами, предоставляемыми ИСПДн в соответствии с ее назначением, так и со специально осуществляемыми неправомерными действиями иностранных государств, криминальных сообществ, отдельных организаций и граждан, а также иными источниками угроз.

Угрозы безопасности ПДн могут быть реализованы за счет утечки ПДн по техническим каналам (технические каналы утечки информации, обрабатываемой в технических средствах ИСПДн, технические каналы перехвата информации при ее передаче по каналам связи, технические каналы утечки акустической (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения.

Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Выявление технических каналов утечки ПДн осуществляется на основе нормативных и методических документов ФСТЭК России.

Источниками угроз, реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПДн правила разграничения доступа к информации. Этими субъектами могут быть: нарушитель; носитель вредоносной программы; аппаратная закладка. Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПДн при их обработке техническими средствами в информационных системах.

С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПДн, нарушители подразделяются на два типа: нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители; нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн, – внутренние нарушители. Для ИСПДн, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПДн, подключенные к сетям общего пользования.

Возможности внутреннего нарушителя существенным образом зависят от установленного порядка допуска физических лиц к информационным ресурсам ИСПДн и мер по контролю порядка проведения работ. Угрозы несанкционированного доступа от внешних нарушителей реализуются с использованием протоколов межсетевого взаимодействия.

Детальное описание угроз, связанных с несанкционированным доступом в ИСПДн персональных данных, приведено в

«Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных»

. Выявление угроз НСД к ПДн, реализуемых с применением программных и программно-аппаратных средств, осуществляется на основе экспертного метода, в том числе путем опроса специалистов, персонала ИСПДн, должностных лиц, при этом могут использоваться специальные инструментальные средства (сетевые сканеры) для подтверждения наличия и выявления уязвимостей программного и аппаратного обеспечения ИСПДн.

Для проведения опроса составляются специальные опросные листы.

Наличие источника угрозы и уязвимого звена, которое может быть использовано для реализации угрозы, свидетельствует о наличии данной угрозы.

Формируя на основе опроса перечень источников угроз ПДн, на основе опроса и сетевого сканирования перечень уязвимых звеньев ИСПДн, а также по данным обследования ИСПДн – перечень технических каналов утечки информации, определяются условия существования в ИСПДн угроз безопасности информации и составляется их полный перечень.

На основании этого перечня в соответствии с описанным ниже порядком формируется перечень актуальных угроз безопасности ПДн. 2. Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных Актуальной считается угроза, которая может быть реализована в ИСПДн и представляет опасность для ПДн.

Подход к составлению перечня актуальных угроз состоит в следующем. Для оценки возможности реализации угрозы применяются два показателя: уровень исходной защищенности ИСПДн и частота (вероятность) реализации рассматриваемой угрозы. Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн, приведенных в таблице 1.

Таблица 1 Показатели исходной защищенности ИСПДн Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий 1.

По территориальному размещению: распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом; – – + городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка); – – + корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации; – + – локальная (кампусная) ИСПДн, развернутая в пределах нескольких близко расположенных зданий; – + – локальная ИСПДн, развернутая в пределах одного здания + – – 2.

По наличию соединения с сетями общего пользования: ИСПДн, имеющая многоточечный выход в сеть общего пользования; – – + ИСПДн, имеющая одноточечный выход в сеть общего пользования; – + – ИСПДн, физически отделенная от сети общего пользования + – – 3. По встроенным (легальным) операциям с записями баз персональных данных: чтение, поиск; + – – запись, удаление, сортировка; – + – модификация, передача – – + 4.По разграничению доступа к персональным данным: ИСПДн, к которой имеют доступ определенные перечнем сотрудники организации, являющейся владельцем ИСПДн, либо субъект ПДн; – + – ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн; – – + Окончание таблицы 1 Технические и эксплуатационные характеристики ИСПДн Уровень защищенности Высокий Средний Низкий ИСПДн с открытым доступом – – + 5.

По наличию соединений с другими базами ПДн иных ИСПДн: интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн); – – + ИСПДн, в которой используется одна база ПДн, принадлежащая организации – владельцу данной ИСПДн + – – 6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.); + – – ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации; – + – ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е.

присутствует информация, позволяющая идентифицировать субъекта ПДн) – – + 7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, предоставляющая всю базу данных с ПДн; – – + ИСПДн, предоставляющая часть ПДн; – + – ИСПДн, не предоставляющая никакой информации. + – – Исходная степень защищенности определяется следующим образом.

1. ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий» (суммируются положительные решения по первому столбцу, соответствующему высокому уровню защищенности), а остальные – среднему уровню защищенности (положительные решения по второму столбцу). 2. ИСПДн имеет средний уровень исходной защищенности, если не выполняются условия по пункту 1 и не менее 70% характеристик ИСПДн соответствуют уровню не ниже «средний» (берется отношение суммы положительные решений по второму столбцу, соответствующему среднему уровню защищенности, к общему количеству решений), а остальные – низкому уровню защищенности.

3. ИСПДн имеет низкую степень исходной защищенности, если не выполняются условия по пунктам 1 и 2.

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищенности ставится в соответствие числовой коэффициент, а именно: 0 – для высокой степени исходной защищенности; 5 – для средней степени исходной защищенности; 10 – для низкой степени исходной защищенности. Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Под частотой (вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя: маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся); низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации); средняя вероятность — объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны; высокая вероятность — объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты. При составлении перечня актуальных угроз безопасности ПДн каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно: 0 – для маловероятной угрозы; 2 – для низкой вероятности угрозы; 5 – для средней вероятности угрозы; 10 – для высокой вероятности угрозы.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением . По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом: если , то возможность реализации угрозы признается низкой; если , то возможность реализации угрозы признается средней; если , то возможность реализации угрозы признается высокой; если , то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы.

При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИСПДн. Этот показатель имеет три значения: низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИСПДн, в соответствии с правилами, приведенными в таблице 2.

Таблица 2 Правила отнесения угрозы безопасности ПДн к актуальной Возможность реализации угрозы Показатель опасности угрозы Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная Очень высокая актуальная актуальная актуальная С использованием данных о классе ИСПДн и составленного перечня актуальных угроз, на основе

«Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

и «Основных мероприятий по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» формулируются конкретные организационно-технические требования по защите ИСПДн от утечки информации по техническим каналам, от несанкционированного доступа и осуществляется выбор программных и технических средств защиты информации, которые могут быть использованы при создании и дальнейшей эксплуатации ИСПДн.

3.3. Определение актуальных угроз безопасности персональных данных

Угрозы с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) персональных данных, и включают в себя:

  1. угрозы утечки персональных данных с сервера оператора персональных данных. Один из самых актуальных типов угроз в цифровой среде обусловлен недостаточными законодательными мерами в отношении операторов персональных данных, способствующими не соблюдением необходимых мер по защите персональных данных. Угроза возникает при передаче персональных данных оператору, не заинтересованному в тщательной проработке мер защиты доступа к хранимым на его серверах персональным данным и допускающему (непреднамеренно или преднамеренно) утечки персональных данных;
  2. угрозы доступа (проникновения) в операционную среду устройства с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения) подразделяются на:

1.

Угрозы непосредственного доступа.

Злоумышленник может получить доступ к устройству или ресурсу, содержащему персональные данные, оставленному без присмотра с недостаточной степенью защиты доступа;2. Угрозы удаленного доступа. Злоумышленник может получить доступ к устройству или ресурсу с используемыми дефолтными (по умолчанию) данными для авторизации; либо осуществить то же самое посредством взлома нестойких систем защиты;

  1. угрозы методами социальной инженерии. Данный вид угроз реализовывается злоумышленником целенаправленно в отношении пользователя и/или третьих лиц. Вероятность возникновения угрозы данного типа возрастает при публикации персональных данных в открытых источниках в цифровой среде, а также при несоблюдении достаточных мер по защите своих персональных данных.
  2. угрозы внедрения вредоносных программ (программно-математического воздействия). Такие угрозы наиболее распространены и могут возникать при посещении сомнительных ресурсов (к примеру, не имеющих подтвержденного сертификата или использующих для доступа незащищенные протоколы связи), установки нелицензионного или скомпрометированного программного обеспечения;
  3. угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования, предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п. Такие угрозы могут возникнуть в случае использования нелицензионного или скомпрометированного аппаратного или программного обеспечения;

Другие разделы методических рекомендаций Роскомнадзора:

«ФСБшные» разделы

Далее идут разделы «Обобщенные возможности источников атак» и «Реализация угроз безопасности информации, определяемых по возможностям источников атак».

Эти разделы не нужны, если не используются криптосредства. Если они все же используются, то исходные данные, да и в целом таблицы для этих разделов выдумывать не нужно, они берутся из нормативного документа ФСБ

«Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности»

(утверждены руководством 8 Центра ФСБ России 31 марта 2015 года, № 149/7/2/6-432). У нас правда в шаблоне результат несколько отличается от дефолтного, приведенного в указанном выше, документе ФСБ.

Конечная цель этих разделов – установить класс средств криптографической защиты информации (СКЗИ), который можно использовать в рассматриваемой системе. Класс этот напрямую зависит от возможностей нарушителя и устанавливается в соответствии с 378 приказом ФСБ (для персональных данных, а для других видов информации таких требований просто нет).

Чаще всего применимый класс криптосредств – КС3. Сейчас расскажем почему. Вообще в документе

«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

(утверждены приказом ФСБ России от 10 июля 2014 года № 378) класс СКЗИ для рассматриваемой системы устанавливается, во-первых исходя из типа угроз, а во-вторых исходя из возможностей нарушителя. Про типы угроз подробно не будем останавливаться, информации много в интернете.

Остановимся на том, что есть 3 типа угроз и нам всеми правдами и неправдами, если планируется применение криптографии нужно делать именно 3-й тип угроз (неактуальные угрозы, связанные с недекларированными возможностями в прикладном и общесистемном ПО).

Почему? Потому что 378 приказ ФСБ:

  1. СКЗИ класса КВ и выше в случаях, когда для информационной системы актуальны угрозы 2 типа;
  2. СКЗИ класса КА в случаях, когда для информационной системы актуальны угрозы 1 типа;
  3. СКЗИ класса КС1 и выше в случаях, когда для информационной системы актуальны угрозы 3 типа.

Вроде понятно, а в чем проблема? Проблема в том, что СКЗИ классов КА1, КВ1 и КВ2 вы не сможете купить просто так, даже если у вас есть куча денег, которых они стоят. Проведем небольшое «расследование».

Качаем свежий , ищем СКЗИ класса КА1. Поиском первым попался «Аппаратно-программный шифратор М-543К». Идем в гугл, пишем «Аппаратно-программный шифратор М-543К купить» — провал.

Пытаемся «купить» следующее криптосредство – опять провал.

Вбиваем просто «криптосредство КА1 купить» — провал. Получаем только ссылки на другие криптосредства классов КС1-КС3 или на форумы, где обсуждают криптографию. А дело в том, что, как уже было сказано, просто так купить СКЗИ классов КА и КВ вы не сможете, только через специализированные воинские части.

Зачем было эти криптосредства вообще упоминать в документе по персональным данным – до сих пор не ясно.

Поэтому в обычной ИСПДн — только третий тип угроз. С КА и КВ разобрались, но почему именно КС3, а не КС2 и КС1? Тут уже виновато второе условие – нарушитель.

378 приказ ФСБ: 12. СКЗИ класса КС3 применяются для нейтрализации атак, при создании способов, подготовке и проведении которых используются возможности из числа перечисленных в пунктах 10 и 11 настоящего документа и не менее одной из следующих дополнительных возможностей: а) физический доступ к СВТ, на которых реализованы СКЗИ и СФ; б) возможность располагать аппаратными компонентами СКЗИ и СФ, ограниченная мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий.