Рекомендации о разработке модели угроз и модели нарушителя хозяйствующего субъекта
МОСКОВСКИЙ ЭНЕРГЕТИЧЕСКИЙ ИНСТИТУТ
(ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ)
ИНСТИТУТ ИНФОРМАЦИОННОЙ И ЭКОНОМИЧЕСКОЙ БЕЗОПАСНОСТИ
Кафедра «Комплексная безопасность бизнеса»
Курсовой проект
студента 2 курса группы ИБС-15-12
Маврин Петр Викторович
Тема курсового проекта:
«Рекомендации по разработке модели угроз и модели нарушителя информационной безопасности хозяйствующего субъекта»
Оценка __________
Москва - 2013
Содержание
- Перечень обозначений и сокраще
ний 3 - Введение 4
- ИСПДн хозяйствующего субъекта 4
- Модель нарушителя безопасности персональных данных 7
- Модель угроз 14
- Заключение 22
- Список литературы 22
Перечень обозначений и сокращений
АРМ - автоматизированное рабочее место
ИР - информационный ресурс
ИСПДн - информационная система персональных данных
КЗ - контролируемая зона
ПДн - персональные данные
ПТС - программно-технические средства
СЗИ - средства защиты информации
СКЗИ - средства криптографической защиты информации
ТС – технические средства
НСД – несанкционированный доступ
ТКУИ – технические каналы утечки информации
УБПДн – угроза безопасности персональных данных
ФСБ - Федеральная служба безопасности
ФСО - Федеральная служба охраны
ФСТЭК - Федеральная служба по техническому и экспертному
контролю
Введение
Разработка модели угроз и модели нарушителя является важной частью создания комплексной структуры угроз защищаемой информации.
Модель угроз содержит систематизированный перечень угроз безопасности ПДн при их обработке в типовых ИСПДн хозяйствующего субъекта.
Указанные угрозы могут исходить от источников, имеющих антропогенный, техногенный и стихийный характер и воздействующих на уязвимости, характерные для данной ИСПДн, реализуя тем самым угрозы информационной безопасности.
В модели дается описание ИСПДн, состав, категории и предполагаемый объем обрабатываемых ПДн.
Модель описывает
Следует определить, какие данные будут обрабатываться в ИСПДн хозяйствующего субъекта, определить состав ИСПДн и контролируемую зону.
ИСПДн хозяйствующего субъекта.
В рамках ИСПДн хозяйствующего субъекта:
- ведется обработка ПДн работников хозяйствующего субъекта;
- ведется обработка ПДн посетителей объектов размещения хозяйствующего субъекта;
Обрабатывается обязательный перечень информации, имеющей характер
ПДн работников хозяйствующего субъекта:
- фамилия, имя, отчество;
- фотография;
- гражданство;
- дата и место рождения;
- пол;
- реквизиты документа, удостоверяющего личность;
- место регистрации;
- состояние в браке;
- фамилия, имя, отчество супруга (-и), детей;
- количество детей;
- дата рождения детей;
- профессия;
- категория запаса;
- воинское звание и личный код;
- номер военного билета, удостоверения гражданина, подлежащего
призыву на военную службу;
- полное обозначение военно-
- категория годности к военной службе;
- военный комиссариат по месту жительства;
- номер команды, партии воинского учета;
- образование;
- наименование образовательного учреждения;
- номер и серия диплома;
- квалификация по документу об образовании;
- направление или специальность по документу;
- номер страхового
страхования.
Может обрабатываться дополнительный перечень информации, имеющей характер ПДн работников, в соответствии с утвержденными нормативными правовыми актами Российской Федерации различного уровня в зависимости от организационно-правовой формы, особенностей налогового режима хозяйствующего субъекта.
Исходя из основных характеристик, особенностей отраслевых ИСПДн и решаемых ими задач в качестве объекта информатизации предприятия выступают:
1. Автономные АРМ.
2. Локальные вычислительные сети.
3. Распределенные вычислительные сети.
В зависимости от характеристик и особенностей отдельных объектов часть вычислительных средств данных предприятий подключена к сетям связи общего пользования и (или) сетям международного информационного обмена.
Ввод персональных данных осуществляется как с бумажных носителей, так и с электронных носителей информации.
ИСПДн предполагают как распределенную (АРМ), так и централизованную (выделенные файловые сервера сети) обработку ПДн.
Персональные данные субъектов ПДн могут выводиться из ИСПДн с целью передачи ПДн клиентов одного предприятия другим предприятиям, внешним организациям, создающим собственные ИСПДн, как в электронном, так и в бумажном виде.
Контролируемой зоной (КЗ) ИСПДн являются здания и отдельные помещения. В пределах контролируемой зоны находятся рабочие места пользователей и места хранения архивных копий данных, серверы системы, сетевое и телекоммуникационное оборудование ИСПДн.
Вне контролируемой зоны находятся линии передачи данных и телекоммуникационное оборудование, используемое для информационного обмена по сетям связи общего пользования и (или) сетям международного информационного обмена.
При разработке модели нарушителя зафиксированы следующие положения:
1. Безопасность ПДн в ИСПДн обеспечивается средствами защиты информации ИСПДн, а также используемыми в них информационными технологиями, техническими и программными средствами, удовлетворяющими требованиям по защите информации, устанавливаемым в соответствии с законодательством Российской Федерации;
2. Средства защиты информации (СЗИ) штатно функционируют совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к СЗИ требований;
3. СЗИ не могут обеспечить защиту ПДн от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗИ не может обеспечить защиту ПДн от раскрытия лицами, которым предоставлено право на доступ к этим данным).
Модель нарушителя безопасности персональных данных
Модель нарушителя представляет собой классификацию нарушителей, возможности нарушителя, имеющиеся у него способы атак, а так же возможные каналы атак.
Классификация нарушителей:
По территориальному признаку нарушители разделяются на:
Внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны ИСПДн, ими могут быть:
-бывшие сотрудники
-посторонние лица, пытающиеся получить доступ к ПДн;
-представители преступных организаций.
Внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны ИСПДн.
По наличию права доступа:
-категория I – лица, не
имеющие права доступа в
ИСПДн;
-категория II – лица, имеющие
право доступа в
ИСПДн.
Внутренние нарушители подразделяются на 8 групп в зависимости от способа доступа к ИР и наличия прав доступа:
Первая группа это сотрудники предприятий, не являющиеся зарегистрированными пользователями и не допущенные к ИР ИСПДн, но имеющие санкционированный доступ в КЗ. К этой категории нарушителей относятся сотрудники различных структурных подразделений предприятий: энергетики, сантехники, уборщицы, сотрудники охраны и другие лица, обеспечивающие нормальное функционирование объекта информатизации.
Лицо данной группы может:
-располагать именами и вести выявление паролей зарегистрированных
пользователей ИСПДн;
-изменять конфигурацию технических средств обработки ПДн, вносить
программно-аппаратные закладки в ПТС ИСПДн и обеспечивать съем
информации, используя непосредственное подключение к
техническим средствам обработки информации.
Вторая группа это зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ИР ИСПДн с рабочего места.
К этой категории относятся сотрудники предприятий, имеющие право доступа к локальным ИР ИСПДн для выполнения своих должностных обязанностей.
Лицо данной группы:
-обладает всеми возможностями лиц первой категории;
-знает, по меньшей мере, одно легальное имя доступа;
-обладает всеми необходимыми атрибутами (например, паролем);
-располагает ПДн, к которым имеет доступ.
Третья группа это зарегистрированные пользователи подсистем ИСПДн, осуществляющие удаленный доступ к ПДн по локальной или распределенной сети предприятий.
Лицо данной группы:
-обладает всеми возможностями лиц второй категории;
-располагает информацией о топологии сети ИСПДн и составе
технических средств ИСПДн;
-имеет возможность прямого (физического) доступа к отдельным
техническим средствам ИСПДн.
Четвертая группа это зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.
Лицо данной группы:
-обладает полной информацией о системном и прикладном
программном обеспечении, используемом в сегменте ИСПДн
-обладает полной информацией о технических средствах и
конфигурации сегмента ИСПДн;
-имеет доступ к средствам защиты информации и протоколирования, а
также к отдельным элементам, используемым в сегменте ИСПДн;
-имеет доступ ко всем техническим средствам сегмента ИСПДн;
-обладает правами конфигурирования и административной настройки
некоторого подмножества технических средств сегмента ИСПДн.
Пятая группа это зарегистрированные пользователи с полномочиями системного администратора ИСПДн, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от НСД.
Лицо данной группы:
-обладает полной информацией о системном, специальном и
прикладном ПО, используемом в ИСПДн;
-обладает полной информацией о ТС и конфигурации ИСПДн
-имеет доступ ко всем ТС ИСПДн и данным;
-обладает правами конфигурирования и административной настройки
ТС ИСПДн.
Шестая группа это зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн, отвечающего за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей, криптографическую защиту информации (СКЗИ). Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.
Лицо данной группы:
-обладает полной информацией об ИСПДн;
-имеет доступ к средствам защиты информации и протоколирования и
к части ключевых элементов ИСПДн;
-не имеет прав доступа к конфигурированию технических средств сети
за исключением контрольных (инспекционных).
Седьмая группа это лица из числа программистов-разработчиков сторонней организации, являющихся поставщиками ПО и лица, обеспечивающие его сопровождение на объекте размещения ИСПДн.
Лицо данной группы:
-обладает информацией об алгоритмах и программах обработки
информации в ИСПДн;
-обладает возможностями внесения ошибок, недекларированных
возможностей, программных закладок, вредоносных программ в ПО
ИСПДн на стадии его разработки, внедрения и сопровождения;
-может располагать любыми фрагментами информации о ТС обработки
и защиты информации в ИСПДн.
Восьмая группа это персонал, обслуживающий ТС ИСПДн, а также лица, обеспечивающие поставку, сопровождение и ремонт ТС ИСПДн.
Лицо данной группы:
-обладает возможностями внесения закладок в ТС ИСПДн на стадии их
разработки, внедрения и сопровождения;
-может располагать фрагментами информации о топологии ИСПДн,
автоматизированных рабочих местах, серверах и коммуникационном
оборудовании, а также о ТС защиты информации в ИСПДн.
Возможности нарушителя:
Для получения исходных данных о ИСПДн нарушитель (как I категории, так и II категории) может осуществлять перехват зашифрованной информации и иных данных, передаваемых по каналам связи сетям общего пользования и (или) сетям международного информационного обмена, а также по локальным сетям ИСПДн.
Внешний нарушитель может осуществлять:
-перехват обрабатываемых техническими средствами ИСПДн ПДн за счет их утечки по ТКУИ, в том числе с использованием портативных, возимых, носимых, а также автономных автоматических средств разведки серийной разработки;
-деструктивные воздействия через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами КЗ;
-НСД к информации с использованием специальных программных воздействий посредством программы вирусов, вредоносных программ, алгоритмических или программных закладок;
-перехват информации, передаваемой по сетям связи общего пользования или каналам связи, не защищенным от НСД к информации организационно техническими мерами;
-атаки на ИСПДн путем реализации угроз удаленного доступа.
Внутренний нарушитель может иметь физический доступ к линиям связи, системам электропитания и заземления. Возможности внутреннего нарушителя
зависят от действующих в
пределах контролируемой зоны объектов
размещения ИСПДн ограничительных факторов,
из которых основными являются режимные
мероприятия и организационно-
-предотвращение и пресечение несанкционированных действий;
-подбор и расстановку кадров;
-допуск физических лиц в контролируемую зону и к средства
вычислительной техники;
-контроль за порядком проведения работ.
В силу этого внутренний нарушитель не имеет возможности получения специальных знаний о ИСПДн в объеме, необходимом для решения вопросов создания и преодоления средств защиты ПДн, и исключается его возможность по созданию и применению специальных программно-технических средств реализации целенаправленных воздействий данного нарушителя на подлежащие защите объекты и он может осуществлять попытки НСД к ИР с использованием только штатных программно-технических средств ИСПДн без нарушения их целостности.
Возможность сговора внутренних нарушителей между собой, сговора внутреннего нарушителя с персоналом организаций-разработчиков подсистем ИСПДн, а также сговора внутреннего и внешнего нарушителей должна быть исключена применением организационно-технических и кадрово-режимных мер, действующих на объектах размещения ИСПДн.
Возможные средства атаки:
Внешний нарушитель (лица категории I, а также лица категории II при нахождении за пределами КЗ) может использовать следующие средства доступа к защищаемой информации:
-доступные в свободной продаже аппаратные средства и программное обеспечение, в том числе программные и аппаратные компоненты криптосредств;
-специально разработанные технические средства и программное обеспечение;
-средства перехвата и анализа информационных потоков в каналах связи;
-специальные технические средства перехвата информации по ТКУИ;
-штатные средства ИСПДн (только в случае их расположения за пределами КЗ).
Внутренний нарушитель для доступа к защищаемой информации, содержащей ПДн, может использовать только штатные средства ИСПДн. При этом его возможности по использованию штатных средств зависят от реализованных в ИСПДн организационно-технических и режимных мер.
Каналы атак:
Возможными каналами атак, которые может использовать нарушитель для доступа к защищаемой информации в ИСПДн, являются:
-каналы непосредственного доступа к объекту (визуально-оптический, акустический, физический);
-электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления;
-бумажные носители информации;
-штатные программно-аппаратные средства ИСПДн;
-кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами;
-незащищенные каналы связи
-ТКУИ.
Модель угроз
Модель угроз – это перечень возможных угроз.
Для создания модели угроз следует выявить весь перечень угроз безопасности ПДн актуальных для ИСПДн, при этом оцениваются два показателя:
-уровень исходной защищенности ИСПДн;
-вероятность реализации рассматриваемой угрозы.
Уровень исходной защищенности ИСПДн:
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн. Данный показатель рассчитывается для ИСПДн, исходя из характеристик объекта информатизации.
Для определения исходной защищенности ИСПДн нужно рассчитать процентное соотношение каждого уровня защищенности ко всем характеристикам, имеющим место для ИСПДн.
Показатели исходной защищенности ИСПДн классифицируются по следующим признакам:
По территориальному размещению:
-распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом
-городская ИСПДн, охватывающая не более одного населенного пункта (города, поселка)
-корпоративная распределенная ИСПДн, охватывающая многие подразделения одной организации
-локальная ИСПДн, развернутая в пределах нескольких близко расположенных зданий
-локальная ИСПДн, развернутая в пределах одного здания
По наличию соединения с сетями общего пользования:
-ИСПДн, имеющая многоточечный выход в сеть общего пользования
-ИСПДн, имеющая одноточечный выход в сеть общего пользования
-ИСПДн, физически отделенная от сети общего пользования
По встроенным (легальным) операциям с записями баз ПДн:
-чтение, поиск
-запись, удаление, сортировка
-модификация, передача
По
разграничению доступа к
-ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющейся владельцем ИСПДн, либо субъект ПДн
-ИСПДн, к которой имеют доступ все сотрудники организации, являющейся владельцем ИСПДн
-ИСПДн с открытым доступом
По наличию соединений с другими базами ПДн иных ИСПДн:
-интегрированная ИСПДн (организация использует несколько баз ПДн ИСПДн, при этом организация не является владельцем всех используемых баз ПДн)
-ИСПДн, в которой используется одна база ПДн, принадлежащая организации (владельцу данной ИСПДн)
По уровню обобщения (обезличивания) ПДн:
-ИСПДн, в которой предоставляемые пользователю данные являются обезличенными (на уровне организации, отрасли, области, региона и т.д.)
-ИСПДн, в которой данные обезличиваются только при передаче в другие организации и не обезличены при предоставлении пользователю в организации
-ИСПДн, в которой предоставляемые пользователю данные не являются
обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)
По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки:
-ИСПДн, предоставляющая всю базу данных с ПДн
-ИСПДн, предоставляющая часть ПДн
-ИСПДн, не предоставляющие никакой информации
Каждую из этих характеристик можно отнести к одному из уровней защищенности:
-высокий
-средний
-низкий
ИСПДн имеет высокий уровень исходной защищенности, если не менее 70% характеристик ИСПДн соответствуют уровню «высокий», а остальные уровню «средний».
В случае, если не менее 70% характеристик ИСПДн относится к уровню «средний», а остальные к уровню «низкий», то исходная защищенность ИСПДн будет среднего уровня.
Во всех остальных случаях ИСПДн будет иметь низкий уровень защищенности.
Уровень исходной защищенности (Y1) является первым параметром, используемым при оценке актуальности угроз безопасности ПДн, обрабатываемых в ИСПДн.
Для оценки уровня исходной защищенности вводится коэффициент исходной защищенности , который может принимать значения:
0 – для высокой степени исходной защищенности;
5 – для средней степени исходной защищенности;
10 – для низкой степени исходной защищенности.
Определение актуальных угроз безопасности персональных данных:
Параметром, необходимым для определения актуальности угроз безопасности ПДн, является вероятность (частота) реализации угрозы (Y2) , под которой понимается определенный экспертным путем показатель, характеризующий вероятность реализации конкретной угрозы безопасности ПДн для ИСПДн в реальных условиях ее функционирования. Вводится четыре значения этого показателя:
маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
средняя вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны;
высокая вероятность – объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты.
Данный показатель принимает следующие значения:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Используя значения приведенных выше показателей Y1 и Y2, вычисляется
коэффициент реализуемости угрозы Y, определяемый соотношением
Y =(Y1+Y2)/20.
В зависимости от своего значения этот коэффициент принимает значения:
0 < Y < 0,3 – реализуемость угрозы признается низкой;
0,3 < Y < 0,6 – реализуемость угрозы признается средней;
0,6 < Y < 0,8 – реализуемость угрозы признается высокой;
Y > 0,8 – реализуемость
угрозы признается очень высоко
Далее дается оценка опасности каждой угрозы ПДн для ИСПДн. Данная оценка носит экспертный характер и получается путем опроса экспертов в области безопасности информации. Данная оценка имеет три значения:
низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов ПДн;
средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов ПДн;
высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов ПДн.
После просчета всех показателей производится оценка актуальности каждой угрозы безопасности ПДн при их обработке в ИСПДн исходя из следующей таблицы:
Реализуемость угрозы |
Показатель опасности угрозы | ||
низкая |
средняя |
высокая | |
Низкая |
неактуальная |
неактуальная |
актуальная |
Средняя |
неактуальная |
актуальная |
актуальная |
Высокая |
актуальная |
актуальная |
актуальная |
Очень высокая |
актуальная |
актуальная |
актуальная |
Классификация угроз:
Угрозы классифицируются в соответствии со следующими признаками:
-по виду защищаемой от УБПДн информации, содержащей ПДн;
-по видам возможных источников УБПДн;
-по типу ИСПДн, на которые направлена реализация УБПДн;
-по способу реализации УБПДн;
-по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
-по используемой уязвимости;
-по объекту воздействия;
По видам возможных источников УБПДн выделяются следующие классы угроз:
-угрозы, связанные с преднамеренными
или непреднамеренными
-угрозы, связанные с преднамеренными
или непреднамеренными
-угрозы могут возникающие
в результате внедрения
По типу ИСПДн, на которые направлена реализация УБПДн, выделяются следующие классы угроз:
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автономного автоматизированного рабочего места (АРМ);
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе АРМ, подключенного к сети общего пользования (к сети международного информационного обмена);
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем без подключения к сети общего пользования (к сети
международного
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных
информационных систем с подключением к сети общего пользования (к сети
международного
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе
распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);
-угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена).
По способам реализации УБПДн выделяются следующие классы угроз:
-угрозы, связанные с НСД к ПДн (в том числе угрозы внедрения вредоносных программ);
-угрозы утечки ПДн по техническим каналам утечки информации;
-угрозы специальных
По виду несанкционированных действий, осуществляемых с ПДн, выделяются следующие классы угроз:
-угрозы, приводящие к
нарушению конфиденциальности
-угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;
-угрозы, приводящие к несанкционированному, в том числе случайному,
воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн.
По используемой уязвимости выделяются следующие классы угроз:
-угрозы, реализуемые с
использованием уязвимости
-угрозы, реализуемые с
использованием уязвимости
-угрозы, возникающие в
результате использования
-угрозы, реализуемые с
использованием уязвимостей