Система защиты персональных данных сокращение. Частная модель угроз безопасности информации конфиденциального характера для банка

Утечка охраняемой информации обычно становится возможной вследствие совершения нарушений режима работы с конфиденциальной информацией. Каналы утечки информации в информационных системах обработки конфиденциальных данных разобьем на группы.

К первой группе относят каналы, образующиеся за счет дистанционного скрытого видеонаблюдения или фотографирования, применения подслушивающих устройств, перехвата электромагаитных излучений и наводок и так далее.

Во вторую группу включают наблюдение за информацией в процессе обработки с целью ее запоминания, хищение ее носителей, сбор производственных отходов, содержащих обрабатываемую информацию, преднамеренное считывание данных из файлов других пользователей, чтение остаточной информации, то есть данных, остающихся на магнитных носителях после выполнения заданий, и так далее.

К третьей группе относят незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или линиям связи, злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации, злоумышленный вывод из строя механизмов защиты.

К четвертой группе относят несанкционированное получение информации путем подкупа или шантажа должностных лиц соответствующих служб, сотрудников, знакомых, обслуживающего персона или родственников, знающих о роде деятельности.

Также необходимо отметить, что низкий уровень конфиденциальности в первую очередь связан с нарушениями в организации пропускного режима. Эти нарушения могут быть результатом реализации угрозы «Подкуп персонала», которая реализуется через уязвимость «Мотивированность персонала на совершение деструктивных действий». Уровень данной уязвимости может быть снижен путем соответствующей работы с персоналом и путем усиления контроля за работой сотрудников.

На уровень целостности и доступности наибольшее влияние оказывают также повреждения каналов передачи данных. К этим повреждениям может привести сбой, который, в свою очередь, может произойти из-за низкой надежности каналов. Повысить надежность можно путем усиления работы службы технической поддержки и путем заземления основного и вспомогательного оборудования, используемого при обработке информации.

Эти данные послужат основанием для разработки рекомендаций по усилению мер, направленных на обеспечение конфиденциальности, целостности и доступности информации. Необходимо усилить контроль над работой сотрудников, провести тренинги для сотрудников, посвященные ИБ; заземлить основное и вспомогательное оборудование, используемое при обработке информации; усилить специалистами службы технической поддержки и внести изменения в должностные инструкции работников данной службы.

Реализация указанных превентивных мер защиты, а также ликвидация существующих повреждений позволят повысить уровень конфиденциальности, целостности и доступности до состояния ВС.

Модель нарушителя информационной безопасности неразрывно связана с моделью угроз информационной безопасности, т.к. нарушитель информационной безопасности часто является как источником угроз, так и следствием.

1. Внутренний нарушитель

К данному типу нарушителя могут быть отнесены различные категории персонала самого объекта защиты, к ним можно отнести следующих сотрудников Чебанов А.С., Жук Р.В., Власенко А.В., Сазонов С.Ю. Модель нарушителя комплексной системы обеспечения информационной безопасности объектов защиты //Известия Юго-Западного государственного университета. Серия: Управление, вычислительная техника, информатика. Медицинское приборостроение. 2013. № 1. С. 171-173.:

  • - лица, имеющие санкционированный доступ к максимальному объему информации (уполномоченные сотрудники, такие как начальство, управляющий состав). Под данную категорию попадает практически весь персонал объекта защиты;
  • - лица, имеющие санкционированный доступ к определенному объему информации (сотрудники структурных подразделений);
  • - лица, имеющие санкционированные доступ к максимальному объему (администраторы автоматизированных систем) или определенному объему (сотрудники отделов информационных технологий, программисты) информации в процессе обеспечения работоспособности и функционирования информационных систем.

Необходимо понимать, что администратор информационной безопасности имеет различные права и возможности по сравнению с администратором информационной системы. Стоит учитывать тот факт, что, несмотря на тип нарушителя «Внутренний», все сотрудники, определенные в нем, могут иметь удаленный доступ к ресурсам объекта информатизации.

По способам воздействия внутренний нарушитель может быть разделен на две категории:

Случайный (непреднамеренный).

Данный нарушитель зачастую даже не предполагает о причинённом ущербе в случае своих действий. Под категорию случайного нарушителя может попадать одновременно весь персонал объекта защиты, независимо, имеет ли он прямой доступ к информации либо осуществляет косвенную деятельность, связанную с поддержанием функционирования информационных систем объекта защиты. Можно выделить несколько примеров, таких как:

  • -обслуживающий персонал помещений;
  • -сотрудники одного из структурных подразделений;
  • -персонал, обслуживающий информационные ресурсы объекта информатизации и т.д.
  • - Инсайдер (заинтересованное лицо).

Опасность, которую несет в себе данная категория нарушителя, в том, что ущерб от его действий может достигать достаточно внушительных размеров. В отличие от случайного нарушителя, он сложно идентифицируем и может осуществлять свою деятельность долгое время.

На сегодняшний момент существуют различные концепции по описанию инсайдеров на предприятии, по разбиению состава сотрудников на группы риска, но большинство инсайдеров делятся на сотрудников Ажмухамедов И.М. Системный анализ и оценка уровня угроз информационной безопасности //Вопросы защиты информации. 2013. № 2 (101). С. 81-87.:

  • - заинтересованных в оплате предоставляемой информации об объекте защиты;
  • - имеющих личные мотивы по отношению к компании - объекту защиты.

Наряду с данной классификацией имеется еще одна особенность, применимая как к внутреннему, так и к внешнему нарушителю, - наличие возможностей.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объекта защиты режимных и организационно-технических мер защиты, в том числе по допуску физических лиц с информационными ресурсами и контролю порядка проведения работ на объекте защиты.

2. Внешний нарушитель

Это наиболее распространенный вид нарушителя. На регламентирование построения комплексной системы защиты информации и применение средств защиты информации направлено большинство существующих нормативных документов Российской Федерации.

В основном к данному виду можно отнести следующих представителей:

  • -правоохранительные органы и органы исполнительной власти Российской Федерации;
  • -конкуренты;
  • -криминальные структуры;
  • -физические лица, непосредственно занимающиеся анализом информационной безопасности объекта защиты.

Основными критериями деления внешних нарушителей на категории являются:

  • - возможность доступа к каналам связи, выходящим за границы контролируемой зоны объекта защиты (всевозможные излучения, оптический канал, линии передачи информации);
  • - возможность доступа в пределы контролируемой зоны объекта защиты (санкционированный доступ, несанкционированный доступ путем маскировки и т.д.);
  • - наличие информации об объекте защиты;
  • - имеющиеся средства реализации атак на объект защиты (сканеры уязвимости, подавители сигнала и т.д.).

Для чего она нужна и как ее разработать?! Ответы на эти вопросы Вы найдете в этой статье.

Модель угроз – это перечень возможных угроз.

Все просто и ясно. Хотя в ГОСТ Р 50922-2006 – «Защита информации. Основные термины и определения» дано более емкое определение:

Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Итак, модель угроз – это документ, тем или иным способом описывающий возможные угрозы безопасности персональных данных.

Теперь разберемся что такое угроза безопасности информации (персональных данных) .

«Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.

Документ «Методика определения актуальных угроз» содержит алгоритм оценки угрозы. Путем несложных расчетов определяется статус каждой вероятной угрозы.

Если Вы решили разрабатывать модель угроз самостоятельно, мы рекомендуем Вам воспользоваться нашим онлайн сервисом для подготовки пакета документов по защите персональных данных . Это позволит избежать ошибок и сократить время подготовки документов.

Наш сервис уже содержит все угрозы безопасности из "Базовой модели". Вам достаточно просто проставить их характеристики и общие характеристики Вашей ИСПДн. Алгоритм расчета актуальности угроз полностью автоматизирован. В результате Вы получите готовый документ в формате RTF

Приветствую, читатели!

  • для понимания тех угроз и уязвимостей, которые расплодились в информационной системе, а так же нарушителей которые актуальны для данной информационной системы, чтобы запустить процесс технического проектирования для их нейтрализации;
  • для галочки, чтобы были выполнены все условия некого проекта, например в сфере персональных данных (не говорю что модель угроз при выполнении проектов в сфере персональных данных всегда делается для галочки, но в основном это так).

Здесь так же большую роль играет Руководство. В зависимости от того, что хочет Руководство, грамотно спроектировать и построить защиту (наш вариант), или же защититься от неких контролирующих органов. Но на эту тему можно написать отдельную статью, в ней будет что сказать.

Модель угроз и модель нарушителя неразрывно связаны. Много споров возникало на тему делать эти модели разными документами, или же правильнее делать это одним документом. По моему мнению, для удобства именно построения модели угроз и модели нарушителя, правильнее делать это одним документом. При передаче модели угроз инженерам (если же моделированием угроз, нарушителя и проектированием занимаются разные отделы в компании) им необходимо видеть ситуацию в полном объеме, а не читать 2 документа и тратить время на соединение их воедино. Таким образом, в данной статье я буду описывать модель угроз и модель нарушителя (далее по тексту - модель угроз) как единый неразрывный документ.

Типовые проблемы

По своему опыту я видел большое количество моделей угроз которые были на столько по разному написаны, что привести их к одному шаблону было просто нереально. У человека не было четкого представления, что писать в таком документе, для кого этот документ и какова его задача. Многие интересуются, сколько листов должна быть модель угроз, что в ней писать, как лучше это сделать.

Типичные ошибки при составлении модели угроз я выявил следующие:

  • отсутствие понимания для кого этот документ:
  • отсутствие понимания структуры документа;
  • отсутствие понимания необходимого содержания документа;
  • отсутствие необходимых для проектирования выводов.

План модели угроз

Так как мы, после составления модели угроз, передадим ее для анализа инженерам (не обязательное условие), информация будет группироваться с точки зрения удобства для разработчика модели угроз и инженера, который потом будет проводить ее анализ.
При составлении модели угроз я придерживаюсь следующего плана(подразделы не включены):

Введение
1. Перечень сокращений
2. Перечень нормативных документов
3. Описание ИС
4. Угрозы безопасности
Заключение.
Приложение А.
Приложение Б.
Приложение В.

Забегая на будущее, модель угроз строится из принципа - "Нет необходимости читать весь документ чтобы понять его смысл и сделать правильные выводы ". Давайте разберем каждый из пунктов.

Введение

Типичное введение, описывающее предназначение данного документа и что должно быть определено на этапе его написания.

1. Перечень сокращений

Зачем оно тут? - спросите вы. А я вам отвечу:

  • документ может читать не только специалист по информационной безопасности;
  • документ может читать высшее руководство, имеющее некое техническое образование;
  • при описании Информационной системы некоторые термины могут быть неизвестны ни специалистам, ни руководству.

2. Перечень нормативных документов

Данный раздел обычно необходим в проектах, где используется некая документация, в которой приписаны некие требования или рекомендации. Например, при работе с персональными данными в данный раздел записываются нормативные документы ФСТЭК, ФСБ и т.д.

3. Описание ИС

Данный раздел является одной из главных частей модели угроз. Описание Информационной системы должно раскладывать ее по полочкам на столько подробно, на сколько это возможно. Данные должны включать:

  • используемые технические средства, их назначение. Как пример:

Идентификатор служит для быстрого обращения к активу из текста документа, описание служит для понимания что за техническое средство используется, примечание служит для уточнения данных о технических средствах и их назначениях.

  • детальное описание технических средств. Как пример: ТС – терминальный сервер. Подключение удаленных клиентов по протоколу RDP для работы с системой. Подключение происходит с аппаратных тонких клиентов и персональных компьютеров. На терминальном сервере установлено приложение, используемое для работы с базой данных.
  • Схему подключения технических средств. Данная схема должна отражать детальную архитектуру информационной системы.
  • Реализованные защитные меры. Данная информация позволит разработчику модели угроз учесть уже внедренные средства защиты и провести оценку их эффективности, что позвонит с некоторой долей вероятности снизить затраты на закупку средств защиты.
  • Формирование перечня активов. Необходимо определить перечень активов, их значимость для компании и идентификатор для быстрой ссылки из документа. Как пример:

В зависимости от выбранной методики оценки рисков, 3 раздел модели угроз может содержать дополнительную информацию. Например, в случае моделирования угроз для персональных данных, данный раздел дополняется «показателями исходной защищенности ИСПДн», «основными характеристиками ИСПДн».

4. Угрозы безопасности

В данном разделе описываются результаты моделирования угроз. В описание входит:

  • актуальность внешних или внутренних угроз;
  • перечень актуальных нарушителей;
  • перечень актуальных угроз информационной безопасности.

Перечень актуальных угроз удобно оформлять в виде такой таблички:

Здесь опять же все просто, идентификатор, описание угрозы и активы, на которые действует угроза. Информации более чем достаточно.

Заключение

В заключении необходимо описать какие мероприятия необходимо провести для защиты Информационной системы. Пример:

1. Защита от несанкционированного подключения незарегистрированных технических средств:

  • серверов СУБД;
  • серверов приложений.

2. Криптографическая защита каналов связи для доступа к Информационной системе (построение VPN сети).

Информация, расположенная в вышеописанных разделах содержит все необходимые данные для проектирования системы защиты Информационной системы. Вся информация, которая содержит определение актуальных нарушителей, расчет актуальных угроз информационной безопасности находятся в приложениях. Это позволяет получить всю необходимую информацию на первых страницах документа. По опыту скажу, что модель угроз для хорошего проекта и серьезной информационной системы занимает от 100 страниц. Информация представленная выше занимает обычно не более 30.

Приложение А

В приложении А я обычно описываю модель нарушителя. Как правило оно состоит из:

  • описания видов нарушителей и их возможностей (внутренние, внешние);
  • описание каналов доступа в ИС (физические, общедоступные, технические)
  • описание данных видов нарушителей с привязкой к штатной структуре организации;
  • описание возможностей данных нарушителей;
  • определение актуальности каждого из видов нарушителей.

Табличка на выходе:

Тип нарушителя Категории нарушителей Идентификатор
Внешний нарушитель Криминальные структуры, внешние субъекты (физические лица) N1
Внутренний нарушитель Лица, имеющие санкционированный доступ в КЗ, но не имеющие доступа к ИСПДн (технический и обслуживающий персонал) N2
Зарегистрированные пользователи ИСПДн, имеющие доступ к ПДн N3
Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн N4
Зарегистрированные пользователи с полномочиями системного администратора ИСПДн N5
Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн N6
Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте N7
Разработчики и лица, обеспечивающие поставку, обслуживание и ремонт технических средств для ИСПДн N8

Приложение Б

Данное приложение служит для описания и расчета актуальности угроз. В зависимости от выбора методики определения актуальности угроз информационной безопасности, оценки рисков, можно по разному оформлять это приложение(раздел). Я оформляю каждую угрозу следующей табличкой:

Сформатировать табличку в хабраредакторе не очень получилось, в документе она выглядит гораздо лучше. История формирования именно такого вида таблички берет свое начало из стандартов серии СТО БР. Далее она немного модифицировалась под проекты под Персональные данные, и сейчас она представляет собой средство описания угроз для любого из проектов. Данная табличка в полной мере позволяет рассчитать актуальность угрозы информационной безопасности для активов компании. Если используется какая-либо методика оценки рисков, данная табличка так же подойдет. Данный пример приведен для расчета актуальности угроз в рамках работ по проекту защиты Персональных данных. Читается табличка следующим образом: Угроза -> Нарушитель -> Активы -> Нарушаемые свойства -> Данные для расчета актуальности -> Выводы.

Каждая угроза оформляется данной табличкой, которая в полной мере описывает ее и на основе данной таблички можно легко сделать вывод об актуальности/неактуальности угрозы.

Приложение В

Приложение В - справочное. В ней расписаны методики расчета актуальности или же методики оценки рисков.

В результате, при использовании данной методики оформления, модель угроз будет являться читабельным и полезным документом, который можно использовать в организации.

Спасибо за внимание.

Сергей Сторчак

В данный момент занимаюсь пересмотром частной политики по рискам нарушения информационной безопасности и обновлением модели угроз ИБ.

В ходе работы я столкнулся с некоторыми сложностями. О том, как я их решил и разработал частную модель угроз, и пойдет речь далее.

Ранее многие банки использовали Отраслевую модель угроз безопасности ПДн, взятую из Рекомендации в области стандартизации ЦБР РС БР ИББС-2.4-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4-2010). Но в связи с изданием информации Банка России от 30.05.2014 документ утратил силу. Сейчас её нужно разрабатывать самому.

Не многие знают, что с выходом Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации" РС БР ИББС-2.9-2016 (РС БР ИББС-2.9-2016) произошла подмена понятий. Теперь при определении перечня категорий информации и перечня типов информационных активов рекомендуется ориентироваться на содержание п.6.3 и 7.2 РС БР ИББС-2.9-2016. Раньше это был п.4.4 Рекомендаций в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009 (РС БР ИББС-2.2-2009). Я даже обращался в ЦБ за разъяснениями:

Основные источники угроз перечислены в п.6.6 Стандарте Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (СТО БР ИББС-1.0-2014). Потенциал нарушителя можно взять отсюда .

В общем случае, при определении актуальных угроз ИБ нужно принимать во внимание инциденты ИБ, которые происходили в организации, сведения из аналитических отчетов регуляторов и компаний, оказывающих услуги по обеспечению информационной безопасности, и экспертное мнение специалистов компании.

Также угрозы ИБ определяются в соответствии с Указанием Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных (3889-У), приложением 1 РС БР ИББС-2.2-2009, таблицей 1 РС БР ИББС-2.9-2016 (её я сделал отдельным приложением), Банком данных угроз безопасности информации ФСТЭК России (БДУ).

Кстати, заметил, что некоторые угрозы из 3889-У дублируют угрозы из БДУ:

  • угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных - УБИ.167, УБИ.172, УБИ.186, УБИ.188, УБИ.191;
  • угроза использования методов социального инжиниринга к лицам, обладающим полномочия-ми в информационной системе персональных данных - УБИ.175;
  • угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных - УБИ.192;

В связи с этим я исключил дублирующие угрозы из 3889-У в пользу УБИ, т.к. в их описании содержится дополнительная информация, которая облегчает заполнение таблиц с моделью угроз и оценкой рисков ИБ.

Актуальные угрозы источника угроз "Неблагоприятные события природного, техногенного и социального характера" статистику МЧС РФ о чрезвычайных ситуациях и пожарах .

Актуальные угрозы источника угроз "Террористы и криминальные элементы" можно определить, ориентируясь на статистику МВД РФ о состоянии преступности и рассылку новостей "Преступления в банковской сфере" .

На данном этапе мы определись с источниками угроз ИБ и актуальными угрозами ИБ. Теперь перейдем к созданию таблицы с моделью угроз ИБ.

За основу я взял таблицу "Отраслевая модель угроз безопасности ПДн" из РС БР ИББС-2.4-2010. Колонки "Источник угрозы" и "Уровень реализации угрозы" заполняются в соответствии с требованиями п.6.7 и п.6.9 СТО БР ИББС-1.0-2014. У нас остаются пустыми колонки "Типы объектов среды" и "Угроза безопасности". Последнюю я переименовал в "Последствия реализации угрозы", как в БДУ (на мой взгляд, так вернее). Для их заполнения нам потребуется описание наших угроз из БДУ.

В качестве примера рассмотрим " УБИ.192: Угроза использования уязвимых версий программного обеспечения ":
Описание угрозы : угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путем эксплуатации уязвимостей программного обеспечения. Данная угроза обусловлена слабостями механизмов анализа программного обеспечения на наличие уязвимостей. Реализация данной угрозы возможна при отсутствии проверки перед применением программного обеспечения на наличие в нем уязвимостей.
Источники угрозы : внутренний нарушитель с низким потенциалом; внешний нарушитель с низким потенциалом.
Объект воздействия : прикладное программное обеспечение, сетевое программное обеспечение, системное программное обеспечение.
Последствия реализации угрозы : нарушение конфиденциальности, нарушение целостности, нарушение доступности.

Для удобства я распределил типы объектов среды (объекты воздействия) по уровням реализации угрозы (уровням информационной инфраструктуры банка ).

Вам также может быть интересно
Обращение взыскания с зарплаты по исполнительному листу
Обращение взыскания с зарплаты по исполнительному листу
Исполнительный лист является документом, выданным на основании решения суда общей юрисдикции или арбитражного...
Смещение химического равновесия при уменьшении давления
Смещение химического равновесия при уменьшении давления
Состояние равновесия для обратимой реакции может длиться неограниченно долгое время (без вмешательства...