ИС «Система мониторинга предоставления государственным гражданским служащим единовременной субсидии на приобретение жилого помещения (далее - ИС ЖС);
АИС «Учет кадров»;
ИС «Удостоверяющий центр электронной цифровой подписи автоматизированных информационных систем единого информационного пространства Министерства здравоохранения и социального развития Российской Федерации» (далее - АС «АС-К»);
ИС «Учет и контроль исполнения документов»;
АИС «1С Зарплата и Кадры»;
АС «ИНВИТА»;
ПИК МЗРФ.
Для формирования более полного представления о ИАС ЦА МЗРФ рассмотрим каждую функциональную подсистему в отдельности.
1.1.1 ИС «Информационно-аналитическая система Министерства здравоохранения России»
ИАС МЗРФ представляет собой локальную вычислительную сеть, подключенную к сетям международного информационного обмена. В состав ЛВС входят сервера баз данных, а так же вэб-сервера, посредством которых пользователи получают доступ к ИАС МЗСР РФ.
Целью создания ИАС МЗСР РФ являются: сбор, обработка и анализ данных в сфере здравоохранения с использованием современных информационных технологий обработки и анализа данных с целью осуществления информационно-аналитической поддержки принятия решений.
Назначение данной системы - автоматизация процессов сбора, обработки и анализа данных в сфере здравоохранения.
Область применения: создание единого централизованного информационного хранилища показателей мониторинга сферы здравоохранения.
Основными функциями ИАС МЗСР РФ являются:
хранение, ввод и логический контроль информации о состоянии здравоохранения и социального развития;
визуальное представление показателей здравоохранения и социального развития;
формирование регламентной и нерегламентной отчетности о процессах развития здравоохранения и социальной сферы;
информационно-аналитическая поддержка процессов мониторинга ключевых показателей в сфере здравоохранения и социального развития Российской Федерации и ее субъектов;
информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации органов и (или) тканей;
информационно-аналитическая поддержка процессов мониторинга субсидий из федерального бюджета на софинансирование объектов капитального строительства в субъектах Российской Федерации;
информационно-аналитическая поддержка процессов мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета;
информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра медицинского персонала; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра стационарного больного с острым нарушением мозгового кровообращения;
информационно-аналитическая поддержка процессов сбора, обработки и хранения информации по индикаторам ФЦП и финансовым показателям софинансирования ФЦП за счет средств бюджетов субъектов Российской Федерации;
хранение, обработка и передача персональных данных;
администрирование прав пользователей системы;
обеспечение информационной безопасности.
.1.3 Описание технологического процесса обработки ПДн
В ИАС ЦА МЗРФ обрабатываются персональные данные субъектов, обращающихся за медицинской помощью в медицинские учреждения различных уровней, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, в том числе информацию о состоянии здоровья, а также данные работников сферы здравоохранения, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию.
Пользователи на рабочих местах, находящихся в медицинских учреждениях различных уровней, осуществляют ручной ввод/чтение данных посредством веб-интерфейса, доступ к которому они осуществляют по технологии «тонкого» клиента. Данные передаются по общедоступным каналам связи (сети Internet) на сервера баз данных, находящихся в ЦА МЗРФ. Защита данных при передаче обеспечивается криптографическими преобразованиями в рамках протокола SSL на базе алгоритма ГОСТ 28147-89.Для идентификации и аутентификации на веб-сервере пользователи используют сертификаты и закрытые ключи выданные им в УЦ Минздравсоцразвития.
Информация хранится на серверах в базах данных. Срок хранения данных не определен.
В рамках своих полномочий, пользователи имеют права на чтение/изменение/ удаление данных, размещенных в федеральной базе.
Разграничение доступа пользователей к базе осуществляется на уровне СУБД.
ПДн, обрабатываемые в ИАС ЦА МЗРФ используются внутри МЗРФ и подчиненных ему организаций и не передаются третьим лицам (организациям).
.1.4 Перечень обрабатываемых ПДн
В модулях ИАС ЦА МЗРФ обрабатываются персональные данные двух групп субъектов ПДн: данные медицинских работников и данные граждан, обращающихся за медицинской помощью в медицинские учреждения различных уровней.
В состав обрабатываемых в ИАС ЦА МЗРФ данных входят:
фамилия, имя, отчество;
дата рождения;
место рождения;
место регистрации;
информация о гражданстве;
серия и номер паспорта;
кем и когда выдан паспорт;
ИНН;
номер карточки пенсионного страхования;
сведения о полисе обязательного медицинского страхования;
информация о семейном положении;
информация об образовании (когда, какое учебное заведение окончил);
информация о трудовой деятельности;
информация о состоянии здоровья.
.1.5 Пользователи допущенные к обработке ПДн
К обработке ПДн в ИАС ЦА МЗРФдопущены:
работники медицинских учреждений, различных уровней, в рамках своих должностных обязанностей;
сотрудники Департамента развития фармацевтического рынка и рынка медицинской техники МЗРФ;
сотрудники Департамента высокотехнологичной медицинской помощи МЗРФ;
сотрудники Департамента образования и развития кадровых ресурсов МЗРФ;
сотрудники Департамента организации медицинской профилактики, медицинской помощи и развития здравоохранения МЗРФ;
сотрудники Департамента развития медицинской помощи детям и службы родовспоможения МЗРФ;
сотрудники Департамента охраны здоровья и санитарно-эпидемиологического благополучия человека МЗРФ.
Полный перечень сотрудников представлен в Приложении 1.
Характеристики ИСПДн
В ходе проведения аналитического обследования ИАС ЦА МЗРФ специалистами Исполнителя совместно со специалистами Заказчика было установлено:
в ИАС ЦА МЗРФ обрабатываются персональные данные (Данные, указанные в пункте 6.2.1.3, согласно п.1 ст.3 п.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» являются персональными данными и подлежат защите), следовательно ИАС ЦА МЗРФ является ИСПДн;
в ИСПДн обрабатываются персональные данные, которые помимо идентификации субъекта ПДн, позволяют получить о нем дополнительную информацию, в том числе данные о состоянии здоровья. Согласно Совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» такие ПДн относятся к 1-й категории ПДн;
в ИАС ЦА МЗРФ одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных;
по структуре ИСПДн является распределенной с использованием технологии удаленного доступа;
по наличию подключений к сетям информационного международного обмена, ИСПДн относится к категории систем, имеющих подключения.
по режиму обработки информации (ПДн), ИСПДн относится к категории многопользовательских.
по разграничению прав доступа в системе, ИАС ЦА МЗРФ относится к системам с разграничением прав доступа.
в ИСПДн осуществляется автоматизированная обработка ПДн.
ИСПДн является специальной (дополнительно требуется обеспечение целостности и доступности ПДн).
.2 Перечень подсистем, их назначение и основные характеристики
В соответствии с «Моделью угроз безопасности ПДн для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)», «Положением о методах и способах защиты информации в информационных системах персональных данных», а также «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации» мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн реализуются в рамках следующих подсистем СЗПДн ИАС ЦА МЗРФ:
управления доступом;
регистрации и учета;
обеспечения целостности;
антивирусной защиты;
криптографической защиты.
Также, в соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» должны проводиться мероприятия по:
обнаружению вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;
обеспечению безопасного межсетевого взаимодействия ИСПДн.
.2.1 Подсистема управления доступом, её назначение и основные характеристики
Согласно «Положению о методах и способах защиты информации в информационных системах персональных данных» подсистема управления доступом в СЗПДн предназначена для выполнения функций защиты самостоятельно или в комплексе с другими СрЗИ, направленных на исключение или затруднение несанкционированного доступа к ИСПДн.
Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.
Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.
1.2.2 Подсистема регистрации и учета, её назначение и основные характеристики
Подсистема регистрации и учета предназначена для фиксирования событий, происходящих в ИСПДн.
Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований, заданных в таблице 1.
Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.
1.2.3 Подсистема обеспечения целостности, её назначение и основные характеристики
Подсистема обеспечения целостности предназначена для осуществления контроля целостности программных средств системы защиты ПДн и неизменности программной среды.
Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.
Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.
.2.4 Требования к обеспечению безопасного межсетевого взаимодействия, назначению и основным характеристикам
Обеспечение безопасного межсетевого взаимодействия осуществляется путем применения МЭ, предназначенных для разграничения доступа, получаемого к ресурсам ИСПДн по каналам связи.
Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.
Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.
Глава 2
.1 Модель нарушителя
В соответствии с п. 2 Положения [6] безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
Характеристики ИСПДн ИАС ЦА МЗРФ, защищаемые ресурсы ИСПДн ИАС ЦА МЗРФ, угрозы утечки ПДн по техническим каналам, угрозы НСД к информации ИСПДн ИАС ЦА МЗРФ рассмотрены в «Модели угроз безопасности персональных данных при их обработке в «Информационно-аналитической системе Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации»[13].
Основываясь на полученных данных с учетом методических рекомендаций ФСБ России [3], Положения ПКЗ-2005 [11] и Типовых требований [12] необходимо уточнить возможности нарушителей при обеспечении с помощью криптосредств безопасности ПДн при их обработке в ИСПДн ИАС ЦА МЗРФ.
Нарушитель может действовать на различных этапах жизненного цикла информационных ресурсов, средств защиты информации, криптосредств (СКЗИ) и СФК, используемых в ИСПДн. Под этими этапами в настоящем документе понимаются этапы разработки указанных средств, их производства, хранения, транспортировки, ввода в эксплуатацию, эксплуатации.
2.2 Этапы разработки, производства, хранения, транспортировки и ввода в эксплуатацию технических и программных СКЗИ и СФК
На этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию используемых в ИСПДн ИАС ЦА МЗРФ технических и программных СКЗИ и СФК, обработка персональных данных не производится. Поэтому объектами угроз и атак на этих этапах являются только сами эти средства и документация на них.
Обеспечение безопасности указанных объектов достигается путем использования организационно - технических мер защиты и проведением обязательных проверок во время ввода в эксплуатацию криптосредств и СФК на соответствие эталонным образцам и заданным алгоритмам функционирования.
Средства криптографической защиты (криптосредства), используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, должны в установленном порядке получить подтверждение соответствия требованиям ФСБ России
2.3 Этап эксплуатации технических и программных СКЗИ и СФК
На данном этапе защита от угроз безопасности, не являющихся атаками, как правило, регламентируется различного рода инструкциями и положениями (разработанными с учетом особенностей эксплуатации ИС и действующей нормативной базы), в которых описываются регламенты действий должностных лиц, допущенных к работе с ИСПДн. При этом возникновение угроз в большинстве случаев связано с ошибочными действиями или нарушениями тех или иных требований указанными лицами. Возможными объектами атак в ИСПДн являются следующие объекты:
документация на криптосредство и на аппаратные и программные компоненты криптосредства и СФК;
защищаемые персональные данные;
ключевая, аутентифицирующая и парольная информация криптосредства и СФК;
криптографически опасная информация (КОИ);
средства защиты информации (программные и аппаратные компоненты средств защиты информации);
криптосредство (программные и аппаратные компоненты криптосредства);
аппаратные и программные компоненты СФК;
настроечные и конфигурационные параметры криптосредства и СФК;
данные, передаваемые по каналам связи;
помещения, в которых находятся защищаемые ресурсы информационной системы.
При передаче ПДн по каналам связи они должны быть защищены с использованием криптосредств или для их передачи должны использоваться защищенные каналы связи. Должна осуществляться защита информации, записываемой на отчуждаемые носители (магнитные, магнито-оптические, оптические, карты флэш-памяти и т.п.).
2.4 Описание нарушителей (субъектов атак)
Под нарушителем (субъектом атак) ИСПДн понимается лицо (или инициируемый им процесс), проводящее (проводящий) атаку.
В случае передачи данных из(в) сторонней(ую) организации(ю) только с использованием бумажных носителей, сотрудники этой организации не могут воздействовать на технические и программные средства ИСПДн ИАС ЦА МЗРФ и поэтому в настоящем документе не могут рассматриваться в качестве потенциальных нарушителей.
Все остальные физические лица, имеющие доступ к техническим и программным средствам ИСПДн ИАС ЦА МЗРФ, могут быть отнесены к следующим категориям:
-категория I - лица, не имеющие права доступа в КЗ и осуществляющие доступ к ресурсам ИСПДн ИАС ЦА МЗРФ из-за пределов КЗ;
-категория II - лица, имеющие право постоянного или разового доступа в КЗ ИСПДн ИАС ЦА МЗРФ.
К контролируемой зоне (КЗ) относятся все объекты и помещения, в которых размещаются части ИСПДн:
помещения, в которых располагаются СВТ ИСПДн (серверы БД, серверы приложений и пр.) и проходят линии связи;
помещения подразделений, в которых располагаются СВТ ИСПДн (АРМ пользователей, сетевое оборудование).
Все помещения, где располагаются серверы БД и приложений, сетевое оборудование, АРМ пользователей) оборудованы системой контроля доступа, системами охранной и пожарной сигнализации, системой кондиционирования воздуха, а также системой бесперебойного питания.
Таким образом, несанкционированное присутствие посторонних лиц в данных помещениях и доступ их к СВТ исключается.
В соответствии с «Методическими рекомендациями...» [3] все потенциальные нарушители подразделяются на два типа:
-внешние нарушители - нарушители, осуществляющие атаки из-за пределов контролируемой зоны ИСПДн;
-внутренние нарушители - нарушители, осуществляющие атаки, находясь в пределах контролируемой зоны ИСПДн.
Предполагается, что:
-внешними нарушителями могут быть как лица категории I, так и лица категории II;
-внутренними нарушителями могут быть только лица категории II.
Возможности потенциальных нарушителей ИСПДн ИАС ЦА МЗРФ существенно зависят от реализованной в ИАС ЦА МЗРФ политики безопасности и принятыми режимными, организационно-техническими и техническими мерами по обеспечению безопасности.
Внешний нарушитель не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн.
Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.
Внутренними нарушителями могут быть следующие лица:
лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн;
санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн;
зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе;
зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн;
зарегистрированные пользователи ИСПДн с полномочиями системного администратора;
зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн; программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн; разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн.
Санкционированные пользователи ИСПДн осуществляют ограниченный доступ к ресурсам ИСПДн со своего рабочего места. Порядок предоставления ограниченного доступа определяется правилами (регламентами) доступа к защищаемой информации. Данная категория лиц рассматривается в качестве потенциальных нарушителей.
Удаленные зарегистрированные пользователи ИСПДн осуществляют ограниченный (в соответствии с заданной ролью) доступ к ресурсам ИСПДн по технологии удаленного доступа, и могут рассматриваться в качестве потенциальных нарушителей.
Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются.
Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются. Программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. Порядок доступа к техническим средствам и информационным ресурсам ИСПДн лицами данной категории регламентируется внутренними нормативными документами по обеспечению безопасности функционирования информационной системы и ПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей.
Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. Порядок доступа к техническим средствам ИСПДн лицами данной категории регламентируется внутренними нормативными документами по обеспечению технических средств и информационных ресурсов ИСПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей.
2.4 Предположения об имеющейся у нарушителя информации об объектах атак
Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ:
-не располагает всей технической документацией на аппаратные и программные компоненты СФК;
-не располагает всей технической документацией на криптосредство, включая исходные тексты ПО, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами;
-не располагает всеми данными об организации работы, линиях связи, структуре и используемом оборудовании ИСПДн в объеме, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами;
-располагает всеми возможными данными, передаваемыми в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами;
-располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;
-располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностями и сбоями технических средств криптосредства и СФК;
-располагает сведениями, получаемыми в результате анализа сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель.
Таблица 1 - Ограничения на имеющуюся у нарушителя информацию об объектах
№ п/пИнформацияОграничение и обоснование1Содержание технической документации на технические и программные компоненты СФК.Доступна только информация, находящаяся в свободном доступе. Обоснование: в ИСПДн ограничен доступ к такой информации (она доступна только привилегированным пользователям).2Долговременные ключи криптосредства.Сведения недоступны. Обоснование: криптосредства не используют долговременные ключи.3Все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.)Доступны в каналах связи незащищенных о НСД к информации.4Сведения о линиях связи, по которым передается защищаемая информация: линии связи, проходящие в КЗ линии связи, проходящие за пределами КЗ.Потенциальному нарушителю могут быть доступны следующие сведения о линиях связи проходящих в КЗ и за ее пределами: общая информация об архитектуре ЛВС; информация о типах используемого оборудования и кабелей. Более детальная информация о линиях связи нарушителю недоступна. Обоснование: в ИСПДн ограничен доступ к такой информации (она доступна только привилегированным пользователям).5Все сети связи, работающие на едином ключе.Сведения недоступны. Обоснование: архитектура подсистемы криптографической защиты исключает такую возможность. Для шифрования отдельных информационных потоков используются индивидуальные ключи.6Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК.Доступны в каналах связи, незащищенных от НСД к информации.7Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК.Доступны в каналах связи, незащищенных от НСД к информации.8Сведения, получаемые в результате анализа любых побочных сигналов от технических средств криптосредства.Могут быть доступны.9Исходные тексты прикладного программного обеспечения ИС.Недоступны. Обоснование: в ИСПДн используется проприетарное ППО с закрытым исходным кодом.
2.5 Предположения об имеющихся у нарушителя средствах атак
Состав и характеристики имеющихся у нарушителя средствах атак существенно зависят как от имеющихся у него возможностей по приобретению или разработке указанных средств, так и от реализованной в ИСПДн ИАС ЦА МЗРФ политики безопасности.
Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ:
-может использовать штатные средства в случае их расположения как вне, так и в пределах контролируемой зоны;
-располагает только доступными в свободной продаже аппаратными компонентами криптосредств и СФК и за счет реализованных в ИСПД организационных мер не имеет дополнительных возможностей по их получению;
-не может организовывать или заказывать работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК;
-может самостоятельно и в одиночку осуществлять освоение способов, подготовку и проведение атак (т.е. отсутствует сговор нарушителей);
-не может проводить лабораторные исследования криптосредств.
.6 Описание каналов атак
Основными каналами атак потенциальных нарушителей ИСПДн являются:
-акустический канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах только в случае ведения разговоров специалистами ИСПДн (как внутри, так и вне КЗ) на данную тематику;
-визуальный канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах путем просматривания документированной и отображаемой на технических средствах информации;
-физический доступ к документации и в помещения, в которых расположены используемые для защиты ПДн криптосредства и СФК;
-штатные средства обработки информации;
-машинные носители информации (как используемые, так и выведенные из употребления, но не уничтоженные);
-технические каналы утечки информации по побочному электромагнитному излучению и наводкам;
-каналы связи, не защищенные от НСД к информации организационно-техническими мерами:
.каналы связи, расположенные внутри КЗ, могут стать объектом атак внутреннего нарушителя;
.каналы связи сети Интернет располагаются за пределами КЗ и могут стать объектом атак внешнего нарушителя;
.выделенный канал связи между сегментами сети Минздравсоцразвития, расположенными по адресам ул. Ильинка д. 21 и Рахмановский пер. д.3/25, выходит за пределы КЗ и может стать объектом атак внешнего нарушителя.
.7 Определение типа нарушителя ИСПДн ИАС ЦА МЗРФ
информационный криптографический защита несанкционированный
Внешний нарушитель не имеет доступа к техническим и программным средствам ИСПДн, находящимся в КЗ, и самостоятельно осуществляет создание методов и средств реализации атак, а также самостоятельно выполняет эти атаки.
Внутренний нарушитель, не являющийся пользователем ИСПДн, имеет право периодического или разового доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение. Внутренний нарушитель, являющийся пользователем ИСПДн, имеет право доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение.
В результате рассмотренных предположений о доступных каналах и способах получения информации нарушителем, которые он может использовать для разработки и проведения атак и в соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» предполагаем, что возможности внутреннего нарушителя соответствуют возможностям нарушителя типа Н3.
Однако, необходимо сделать вывод, что благодаря комплексу организационно-технических мероприятий:
-наличие физической охраны;
-наличие СКУД в помещениях серверных;
-наличие комплексной системы управления и мониторинга сетевых инфраструктур, а также системы управления политиками сетевой безопасности на базе комплекса Juniper, а также других мероприятий описанных в п. 3;
возможности внутреннего нарушителя существенно ограничиваются и не превышают возможностей нарушителя типа Н1.
Учитывая, что в качестве внешнего нарушителя может действовать бывший сотрудник Министерства, обладающий сведениями о структуре и других характеристиках сети, а также характера информации, передаваемой по каналам связи, предполагается, что возможности внешнего нарушителя аналогичны соответствующим возможностям нарушителя типа Н3 (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне).
2.8 Уровень криптографической защиты ПДн в ИСПДн
В соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» уровень криптографической защиты персональных данных, обеспечиваемый криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.
Для защиты от внутреннего нарушителя типа Н1, внутри контролируемой зоны требуется применение СКЗИ, соответствующих требованиям ФСБ России по классу не ниже КС1.
Для защиты от внешнего нарушителя типа Н3, на границах контролируемой зоны требуется применение СКЗИ соответствующих требованиям ФСБ России по классу не ниже КС3.
При обработке ПДн в ИСПДн возможно возникновение угроз безопасности персональных данных (УБПДн) за счет реализации следующих каналов утечки информации:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой (визуальной) информации;
угрозы утечки информации по каналам ПЭМИН [2].
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.
В ИАС ЦА МЗРФ данный канал является неактуальным, поскольку в ИСПДн функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами отсутствуют. Источником угроз утечки видовой (визуальной) информации являются физические лица, не имеющие санкционированного доступа к информации ИСПДн, а также технические средства просмотра, внедренные в служебные помещения или скрытно используемые данными физическими лицами.
Угрозы утечки видовой (визуальной) информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн.
Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между указанными физическими лицами или средствами наблюдения и техническими средствами ИСПДн, на которых визуально отображаются ПДн.
Перехват ПДн в ИСПДн может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них с помощью портативной носимой аппаратурой (портативные фото и видеокамеры и т.п.), возимой или стационарной аппаратурой, а также путем непосредственного личного наблюдения в служебных помещениях или при помощи технических средств просмотра, скрытно внедренных в служебные помещения.
Данный канал является актуальным для ИАС ЦА МЗРФ, поскольку за счет его реализации возможно возникновение угроз безопасности персональных данных.
Источником угроз утечки информации по каналам ПЭМИН являются физические лица, не имеющие доступа к ИСПДн.
Возникновение угрозы утечки ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.
Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы КЗ в зависимости от мощности излучений и размеров ИСПДн.
Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн, путем использования аппаратуры в составе радиоприемных устройств, предназначенной для восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДн («аппаратурные закладки»).
Учитывая техническую сложность регистрации ПЭМИН, затраты, связанные с перехватом и выделением информативных сигналов, существенно превосходят затраты, связанные с получением ПДн иными способами. По этой причине предполагается, что утечка информации по каналампобочных электромагнитных излучения и наводок невозможна.
Для ИАС ЦА МЗРФ рассматриваются следующие типы угроз НСД с применением программных и программно-аппаратных средств, которые реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (несанкционированное копирование и (или) распространение), целостности (несанкционированное уничтожение или изменение) и доступности (несанкционированное блокирование) ПДн:
угрозы несанкционированного доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);
угрозы перехвата информации, передаваемой по каналам связи;
угрозы создания нештатных режимов работы программных (программно-аппаратных средств) за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;
угрозы внедрения вредоносных программ (программно-математического воздействия).
Кроме того, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа.
Источниками угроз НСД в ИСПДн могут быть:
носитель вредоносной программы;
аппаратная закладка [2].
По наличию права постоянного или разового доступа в контролируемые зоны (КЗ) нарушители ИСПДн подразделяются на два типа:
внешние нарушители - нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из-за пределов КЗ;
внутренние нарушители - нарушители, имеющие доступ в КЗ к ИСПДн, включая пользователей ИСПДн.
Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внешний нарушитель (далее для удобства обозначения И0) не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн.
Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.
Внутренние потенциальные нарушители в ИСПДн по классификации ФСТЭК России [2] подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
К первой категории (далее И1) относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн - обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИСПДн, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИСПДн.
Ко второй категории внутренних потенциальных нарушителей (далее И2) относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места - санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ.
К третьей категории внутренних потенциальных нарушителей (далее И3) относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ, осуществляющие удаленный доступ к ПДн.
К четвертой категории внутренних потенциальных нарушителей (далее И4) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями администратора безопасности сегмента (фрагмента) ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителичетвертой категории в ИАС ЦА МЗРФ отсутствуют.
К пятой категории внутренних потенциальных нарушителей (далее И5) относятся зарегистрированные пользователи ИСПДн с полномочиями системного администратора. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями системного администратора ИСПДн являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителипятой категории в ИАС ЦА МЗРФ отсутствуют.
К шестой категории внутренних потенциальных нарушителей (далее И6) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями администратора безопасности ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителишестой категории в ИАС ЦА МЗРФ отсутствуют.
К седьмой категории внутренних потенциальных нарушителей (далее И7) относятся программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. К внутренним потенциальным нарушителям седьмой категории в ИАС ЦА МЗРФ можно отнести программистов-разработчиков, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону.
К восьмой категории внутренних потенциальных нарушителей (далее И8) относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. К внутренним потенциальным нарушителям восьмой категории в ИАС ЦА МЗРФ можно отнести сотрудников, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону, а также сотрудников сторонних организаций, осуществляющих сопровождение технических средств ИАС ЦА МЗРФ.На основании изложенного, в качестве источников угроз НСД в ИАС ЦА МЗРФ необходимо рассматривать следующих нарушителей:
внешнего нарушителя И0;
внутреннего нарушителя И1, имеющего санкционированный доступ к ИАС ЦА МЗРФ, но не имеющего доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИАС ЦА МЗРФ - обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИАС ЦА МЗРФ, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИАС ЦА МЗРФ;
внутреннего нарушителя И2, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн с рабочего места - санкционированный пользователь ИСПДн, который занимается обработкой ПДн;
внутреннего нарушителя И3, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн по технологии удаленного доступа - санкционированный пользователь ИСПДн, который занимается обработкой ПДн.
внутреннего нарушителя И7, являющегося программистом-разработчиком (поставщиком) ППО или лицом, обеспечивающим сопровождение ППО в ИАС ЦА МЗРФ;
внутреннего нарушителя И8, являющегося разработчиком или лицом, обеспечивающим поставку, сопровождение и ремонт технических средств в ИАС ЦА МЗРФ.
Указанные категории нарушителей должны учитываться при оценке возможностей реализации источников угроз НСД в ИАС ЦА МЗРФ.
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются: отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти шин передачи данных, портов ввода-вывода);
микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
пакеты передаваемых по компьютерной сети сообщений;
файлы (текстовые, графические, исполняемые и т.д.).
Аппаратные закладки могут быть конструктивно встроенными и автономными.
Конструктивно встроенные аппаратные закладки создаются в ходе проектирования и разработки аппаратного обеспечения, применяемого в ИСПДн и могут проявляться в виде недекларированных возможностей различных элементов вычислительной системы.
Автономные аппаратные закладки являются законченными устройствами, выполняющими определенные деструктивные функции: перехват, накопление, ввод/вывод информации и т.д.
Учитывая, что аппаратные закладки представляют собой некоторый элемент технических средств (ТС), скрытно внедряемый или подключаемый к ИС и обеспечивающий при определенных условиях реализацию несанкционированного доступа или непосредственное выполнение некоторых деструктивных действий, в них, как правило, содержатся микрокоманды, обеспечивающие взаимодействие закладки с программно-техническими средствами ИС.
Аппаратные закладки могут реализовать угрозы:
сбора и накопления ПДн, обрабатываемых и хранимых в ИСПДн;
формирования технических каналов утечки (акустический, оптический, побочных электромагнитных излучений и наводок - ПЭМИН) с возможной обработкой информации, в том числе и стеганографическими методами, и передачей ее за пределы КЗ (на внешних машинных носителях информации).
В силу отмеченных свойств аппаратных закладок эффективная защита от них может быть обеспечена за счет учета их специфики и соответствующей организации технической защиты информации на всех стадиях (этапах) жизненного цикла ИСПДн.
В разделе 2 проведен анализ характеристик ИСПДн ИАС ЦА МЗР.
Из проведенного анализа следует, что в соответствии с требованиями п.8, п.16 «Порядка проведения классификации информационных систем персональных данных» [9] даннаяИСПДн является распределенной ИСПДн, имеющей подключения к сетям связи общего пользования.
В ИАС ЦА МЗР возможна реализация следующихУБПДн:
угрозы утечки информации по техническим каналам (п.4 настоящей модели);
угрозы НСД к ПДн, обрабатываемых в распределенных сетях.
Угрозы НСД для ИСПДн ИАС ЦА МЗР связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель), а также нарушителей, не имеющих доступа к ИСПДн и реализующих угрозы из внешних сетей связи общего пользования (внешний нарушитель).
Учитывая состав применяемых средств защиты, категории персональных данных, категории вероятных нарушителей и рекомендации «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», необходимо рассмотреть следующие угрозы безопасности для ИСПДн ИАС ЦА МЗР:
угрозы, реализуемые в ходе загрузки операционной системы;
угрозы, реализуемые после загрузки операционной системы;
угрозы внедрения вредоносных программ;
угроза «Анализ сетевого трафика» с перехватом передаваемой по сети информации;
угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
угроза выявления паролей;
угроза получения НСД путем подмены доверенного объекта сети;
угроза типа «Отказ в обслуживании»;
угроза удаленного запуска приложений;
угроза внедрения по сети вредоносных программ;
угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях;
угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях;
угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа.
Под уровнем исходной защищенности понимается обобщенный показатель Y1, зависящий от технических и эксплуатационных характеристик ИСПДн [1].
В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [1] для нахождения уровня исходной защищенности ИСПДн, т.е. значения числового коэффициента Y1, необходимо определить показатели исходной защищенности, которые представлены в Таблице 2.
Таблица 2
№Технические и эксплуатационные характеристики ИСПДнТип ИСПДнУровень защищенности1По территориальному размещениюРаспределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целомнизкий2По наличию соединения с сетями общего пользованияИСПДн, имеющая одноточечный выход в сеть общего пользованиясредний3По встроенным (легальным) операциям с записями баз ПДнмодификация, передачанизкий4По разграничению доступа к ПДнИСПДн, к которой имеет доступ определенный перечень сотрудников ИАС ЦА МЗРсредний5По наличию соединений с другими базами ПДн иных ИСПДнинтегрированная ИСПДн (ИАС ЦА МЗР использует несколько баз ПДнИСПДн, при этом не являясь владельцем всех используемых баз ПДн)низкий6По уровню обобщения (обезличивания) ПДнИСПДн, в которой предоставляемые пользователю данные не являются обезличенными, т.е. присутствует информация, позволяющая идентифицировать субъект ПДннизкий7По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработкиИСПДн, предоставляющая часть ПДнсредний
Из анализа результатов исходной защищенности (Таблица 2) следует, что менее 70% характеристик ИСПДн ИАС ЦА МЗРФ соответствуют уровню не ниже «средний». Следовательно, в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [1] ИСПДн ИАС ЦА МЗР имеет низкий уровень исходной защищенности и числовой коэффициент Y1= 10.
Определение вероятности реализации угроз в ИСПДнИАС ЦА МЗР
Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.
Числовой коэффициент (Y2) для оценки вероятности возникновения угрозы определяется по четырем вербальным градациям этого показателя:
маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0);
низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2);
средняя вероятность - объектные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5);
высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10).
Таблица 2
Угроза безопасности ПДнВероятность реализации угрозы (Y2)Иiисточником угрозы - нарушителем категории Иi(Y2)И0(Y2)И1(Y2)И2(Y2)И3(Y2)И7(Y2)И8Итог Y2= max(Y2)ИiУгрозы, реализуемые в ходе загрузки операционной системы0222222Угрозы, реализуемые после загрузки операционной системы0222222Угрозы внедрения вредоносных программ0222222Угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации2222002Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.2222222Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях0222222Угрозы выявления паролей0200222Угрозы получения НСД путем подмены доверенного объекта сети0222222Угрозы типа «Отказ в обслуживании»2222222Угрозы удаленного запуска приложений5222225Угрозы внедрения по сети вредоносных программ5222225Угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях2222222Угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа2222222
Определение возможности реализации угроз в ИСПДнИАС ЦА МЗР
По итогам оценки уровня исходной защищенности (Y1) и вероятности реализации угрозы (Y2) рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (Таблица 3).
Коэффициент реализуемости угрозы рассчитывается по формуле:
Y=(Y1+Y2)/20.
По значению коэффициента реализуемости угрозы Y формулируется вербальная интерпретация реализуемости угрозы следующим образом:
если 0£Y£0.3, то возможность угрозы признается низкой;
если 0.3£Y£0.6, то возможность угрозы признается средней;
если 0.6£Y£0.8, то возможность угрозы признается высокой;
если Y>0.8, то возможность угрозы признается очень высокой.
Таблица 3
Угроза безопасности ПДнКоэффициент реализуемости угрозы (Y)Возможность реализации угрозыугрозы, реализуемые в ходе загрузки операционной системы0,6средняяугрозы, реализуемые после загрузки операционной системы0,6средняяугрозы внедрения вредоносных программ0,6средняяугрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации0,6средняяугрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.0,6средняяугрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях0,6средняяугрозы выявления паролей0,6средняяугрозы получения НСД путем подмены доверенного объекта сети0,6средняяугрозы типа «Отказ в обслуживании»0,6средняяугрозы удаленного запуска приложений0,75высокаяугрозы внедрения по сети вредоносных программ0,75высокаяугрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях0,6средняяугрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа0,6средняя
Оценка опасности угроз в ИСПДнИАС ЦА МЗР
Оценка опасности угроз в ИСПДн производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения:
низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;
средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Оценка опасности угроз в ИСПДн ИАС ЦА МЗР приведена в таблице 4.
Таблица 4
Угроза безопасности ПДнОпасность угрозугрозы, реализуемые в ходе загрузки операционной системысредняяугрозы, реализуемые после загрузки операционной системысредняяугрозы внедрения вредоносных программсредняяугрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информациисредняяугрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.средняяугрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетяхнизкаяугрозы выявления паролейсредняяугрозы получения НСД путем подмены доверенного объекта сетинизкаяугрозы типа «Отказ в обслуживании»низкаяугрозы удаленного запуска приложенийсредняяугрозы внедрения по сети вредоносных программсредняяугрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетяхсредняяугрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступасредняя
Правила отнесения угрозы безопасности к актуальной приведены в таблице 5 [1].
Таблица 5
Возможность реализации угрозыПоказатель опасности угрозыНизкаяСредняяВысокаяНизкаянеактуальнаянеактуальнаяактуальнаяСредняянеактуальнаяактуальнаяактуальнаяВысокаяактуальнаяактуальнаяактуальнаяОчень высокаяактуальнаяактуальнаяактуальная
В соответствии с правилами отнесения угрозы безопасности к актуальной для ИСПДн ИАС ЦА МЗР определены угрозы, представленные в таблице 6.
Таблица 6
Угроза безопасности ПДнОпасность угрозугрозы, реализуемые в ходе загрузки операционной системыактуальнаяугрозы, реализуемые после загрузки операционной системыактуальнаяугрозы внедрения вредоносных программактуальнаяугрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информацииактуальнаяугрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.актуальнаяугрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетяхнеактуальнаяугрозы выявления паролейактуальнаяугрозы получения НСД путем подмены доверенного объекта сетинеактуальнаяугрозы типа «Отказ в обслуживании»неактуальнаяугрозы удаленного запуска приложенийактуальнаяугрозы внедрения по сети вредоносных программактуальнаяугрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетяхактуальнаяугрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступаактуальная
Таким образом, актуальными угрозами безопасности ПДн в ИСПДн ИАС ЦА МЗР являются:
-угрозы, реализуемые в ходе загрузки операционной системы;
-угрозы, реализуемые после загрузки операционной системы;
-угрозы внедрения вредоносных программ;
-угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации; угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
-угрозы выявления паролей;
-угрозы удаленного запуска приложений;
-угрозы внедрения по сети вредоносных программ;
-угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях;
-угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа.
Администратором безопасности ИСПДн выполняются следующие мероприятия:
-результатов работы средств мониторинга ИБ, результаты проверок и аудита (внутреннего или внешнего);
-обращения пользователей ИСПДн;
-обращения субъектов персональных данных с указанием Инцидента ИБ;
-запросы и предписания органов надзора за соблюдением прав субъектов ПДн;
-другие источники информации.
-Администратор безопасности ИСПДн после получения информации о предполагаемом Инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа проводится проверка наличия в выявленном факте нарушений;
-по усмотрению руководителя Департамента информатизации единичный Инцидент ИБ, не приведший к негативным последствиям и совершенный сотрудником Минздравсоцразвития впервые, фиксируется Администратором безопасностиИСПДн в карточке данных «Инциденты ИБ» (Приложение №1) с присвоением статуса «Разбирательство не требуется»;
-в случае нарушения прав субъекта персональных данных разбирательство и реагирование происходит в порядке и сроки, предусмотренные внутренними регламентами Минздравсоцразвития.
-в случае наличия признаков Инцидента ИБ в полученной информации, Администратор безопасности определяет предварительную степень важности Инцидента ИБ и принимает решение о необходимости проведения разбирательства, информирует руководителя Департамента информатизации об Инциденте ИБ, инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства».
-в срок не более 3 (трех) рабочих дней с момента поступления информации об Инциденте ИБ, Администратор безопасности, по согласованию с руководителем Департамента информатизации, определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий.
Разбирательство Инцидента ИБ, состоит из следующих этапов:
-подтверждение/опровержение факта возникновения Инцидента ИБ;
-подтверждение/корректировка уровня значимости Инцидента ИБ;
-уточнение дополнительных обстоятельств (деталей) Инцидента ИБ;
-получение (сбор) доказательств возникновения Инцидента ИБ, обеспечение их сохранности и целостности;
-минимизация последствий Инцидента ИБ;
-информирование и консультирование персонала по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ;
-разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ. В процессе проведения разбирательства Инцидента ИБ обязательными для установления являются:
-дата и время совершения Инцидента ИБ;
-ФИО, должность и подразделение Нарушителя ИБ;
-уровень критичности Инцидента ИБ;
-обстоятельства и мотивы совершения Инцидента ИБ;
-информационные ресурсы, затронутые Инцидентом ИБ;
-характер и размер реального и потенциального ущерба;
-обстоятельства, способствовавшие совершению Инцидента ИБ.