Модель угроз информационной безопасности испдн. Частная модель угроз безопасности информации конфиденциального характера для банка Что называется моделью угроз

Приветствую, читатели!

  • для понимания тех угроз и уязвимостей, которые расплодились в информационной системе, а так же нарушителей которые актуальны для данной информационной системы, чтобы запустить процесс технического проектирования для их нейтрализации;
  • для галочки, чтобы были выполнены все условия некого проекта, например в сфере персональных данных (не говорю что модель угроз при выполнении проектов в сфере персональных данных всегда делается для галочки, но в основном это так).

Здесь так же большую роль играет Руководство. В зависимости от того, что хочет Руководство, грамотно спроектировать и построить защиту (наш вариант), или же защититься от неких контролирующих органов. Но на эту тему можно написать отдельную статью, в ней будет что сказать.

Модель угроз и модель нарушителя неразрывно связаны. Много споров возникало на тему делать эти модели разными документами, или же правильнее делать это одним документом. По моему мнению, для удобства именно построения модели угроз и модели нарушителя, правильнее делать это одним документом. При передаче модели угроз инженерам (если же моделированием угроз, нарушителя и проектированием занимаются разные отделы в компании) им необходимо видеть ситуацию в полном объеме, а не читать 2 документа и тратить время на соединение их воедино. Таким образом, в данной статье я буду описывать модель угроз и модель нарушителя (далее по тексту - модель угроз) как единый неразрывный документ.

Типовые проблемы

По своему опыту я видел большое количество моделей угроз которые были на столько по разному написаны, что привести их к одному шаблону было просто нереально. У человека не было четкого представления, что писать в таком документе, для кого этот документ и какова его задача. Многие интересуются, сколько листов должна быть модель угроз, что в ней писать, как лучше это сделать.

Типичные ошибки при составлении модели угроз я выявил следующие:

  • отсутствие понимания для кого этот документ:
  • отсутствие понимания структуры документа;
  • отсутствие понимания необходимого содержания документа;
  • отсутствие необходимых для проектирования выводов.

План модели угроз

Так как мы, после составления модели угроз, передадим ее для анализа инженерам (не обязательное условие), информация будет группироваться с точки зрения удобства для разработчика модели угроз и инженера, который потом будет проводить ее анализ.
При составлении модели угроз я придерживаюсь следующего плана(подразделы не включены):

Введение
1. Перечень сокращений
2. Перечень нормативных документов
3. Описание ИС
4. Угрозы безопасности
Заключение.
Приложение А.
Приложение Б.
Приложение В.

Забегая на будущее, модель угроз строится из принципа - "Нет необходимости читать весь документ чтобы понять его смысл и сделать правильные выводы ". Давайте разберем каждый из пунктов.

Введение

Типичное введение, описывающее предназначение данного документа и что должно быть определено на этапе его написания.

1. Перечень сокращений

Зачем оно тут? - спросите вы. А я вам отвечу:

  • документ может читать не только специалист по информационной безопасности;
  • документ может читать высшее руководство, имеющее некое техническое образование;
  • при описании Информационной системы некоторые термины могут быть неизвестны ни специалистам, ни руководству.

2. Перечень нормативных документов

Данный раздел обычно необходим в проектах, где используется некая документация, в которой приписаны некие требования или рекомендации. Например, при работе с персональными данными в данный раздел записываются нормативные документы ФСТЭК, ФСБ и т.д.

3. Описание ИС

Данный раздел является одной из главных частей модели угроз. Описание Информационной системы должно раскладывать ее по полочкам на столько подробно, на сколько это возможно. Данные должны включать:

  • используемые технические средства, их назначение. Как пример:

Идентификатор служит для быстрого обращения к активу из текста документа, описание служит для понимания что за техническое средство используется, примечание служит для уточнения данных о технических средствах и их назначениях.

  • детальное описание технических средств. Как пример: ТС – терминальный сервер. Подключение удаленных клиентов по протоколу RDP для работы с системой. Подключение происходит с аппаратных тонких клиентов и персональных компьютеров. На терминальном сервере установлено приложение, используемое для работы с базой данных.
  • Схему подключения технических средств. Данная схема должна отражать детальную архитектуру информационной системы.
  • Реализованные защитные меры. Данная информация позволит разработчику модели угроз учесть уже внедренные средства защиты и провести оценку их эффективности, что позвонит с некоторой долей вероятности снизить затраты на закупку средств защиты.
  • Формирование перечня активов. Необходимо определить перечень активов, их значимость для компании и идентификатор для быстрой ссылки из документа. Как пример:

В зависимости от выбранной методики оценки рисков, 3 раздел модели угроз может содержать дополнительную информацию. Например, в случае моделирования угроз для персональных данных, данный раздел дополняется «показателями исходной защищенности ИСПДн», «основными характеристиками ИСПДн».

4. Угрозы безопасности

В данном разделе описываются результаты моделирования угроз. В описание входит:

  • актуальность внешних или внутренних угроз;
  • перечень актуальных нарушителей;
  • перечень актуальных угроз информационной безопасности.

Перечень актуальных угроз удобно оформлять в виде такой таблички:

Здесь опять же все просто, идентификатор, описание угрозы и активы, на которые действует угроза. Информации более чем достаточно.

Заключение

В заключении необходимо описать какие мероприятия необходимо провести для защиты Информационной системы. Пример:

1. Защита от несанкционированного подключения незарегистрированных технических средств:

  • серверов СУБД;
  • серверов приложений.

2. Криптографическая защита каналов связи для доступа к Информационной системе (построение VPN сети).

Информация, расположенная в вышеописанных разделах содержит все необходимые данные для проектирования системы защиты Информационной системы. Вся информация, которая содержит определение актуальных нарушителей, расчет актуальных угроз информационной безопасности находятся в приложениях. Это позволяет получить всю необходимую информацию на первых страницах документа. По опыту скажу, что модель угроз для хорошего проекта и серьезной информационной системы занимает от 100 страниц. Информация представленная выше занимает обычно не более 30.

Приложение А

В приложении А я обычно описываю модель нарушителя. Как правило оно состоит из:

  • описания видов нарушителей и их возможностей (внутренние, внешние);
  • описание каналов доступа в ИС (физические, общедоступные, технические)
  • описание данных видов нарушителей с привязкой к штатной структуре организации;
  • описание возможностей данных нарушителей;
  • определение актуальности каждого из видов нарушителей.

Табличка на выходе:

Тип нарушителя Категории нарушителей Идентификатор
Внешний нарушитель Криминальные структуры, внешние субъекты (физические лица) N1
Внутренний нарушитель Лица, имеющие санкционированный доступ в КЗ, но не имеющие доступа к ИСПДн (технический и обслуживающий персонал) N2
Зарегистрированные пользователи ИСПДн, имеющие доступ к ПДн N3
Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента ИСПДн N4
Зарегистрированные пользователи с полномочиями системного администратора ИСПДн N5
Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн N6
Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте N7
Разработчики и лица, обеспечивающие поставку, обслуживание и ремонт технических средств для ИСПДн N8

Приложение Б

Данное приложение служит для описания и расчета актуальности угроз. В зависимости от выбора методики определения актуальности угроз информационной безопасности, оценки рисков, можно по разному оформлять это приложение(раздел). Я оформляю каждую угрозу следующей табличкой:

Сформатировать табличку в хабраредакторе не очень получилось, в документе она выглядит гораздо лучше. История формирования именно такого вида таблички берет свое начало из стандартов серии СТО БР. Далее она немного модифицировалась под проекты под Персональные данные, и сейчас она представляет собой средство описания угроз для любого из проектов. Данная табличка в полной мере позволяет рассчитать актуальность угрозы информационной безопасности для активов компании. Если используется какая-либо методика оценки рисков, данная табличка так же подойдет. Данный пример приведен для расчета актуальности угроз в рамках работ по проекту защиты Персональных данных. Читается табличка следующим образом: Угроза -> Нарушитель -> Активы -> Нарушаемые свойства -> Данные для расчета актуальности -> Выводы.

Каждая угроза оформляется данной табличкой, которая в полной мере описывает ее и на основе данной таблички можно легко сделать вывод об актуальности/неактуальности угрозы.

Приложение В

Приложение В - справочное. В ней расписаны методики расчета актуальности или же методики оценки рисков.

В результате, при использовании данной методики оформления, модель угроз будет являться читабельным и полезным документом, который можно использовать в организации.

Спасибо за внимание.

Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

Результаты моделирования предназначены для выбора адекватных оптимальных методов парирования угроз.

Как составить частную модель угроз безопасности информационной системы

На стадии моделирования проводится изучение и анализ существующей обстановки и выявляются актуальные угрозы безопасности ПДн в составе ИСПДн. Для каждой выявленной ИСПДн составляется своя модель угроз.

Модель угроз безопасности информационной системы строится в соответствии с требованиями Федерального Закона от 27.07.2006 г. № 152-ФЗ «О персональных данных». Кроме того, могут использоваться методические документы ФСТЭК России: «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн», «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн».

Исходными данными для проведения оценки и анализа обычно служат материалы «Акта проверки», результаты анкетирования сотрудников различных подразделений и служб, методические документы ФСТЭК и т.д.

Частная модель угроз безопасности информационной системы должна быть утверждена руководителем организации или комиссией на основании отчета о результатах проведения внутренней проверки.

Модель угроз может разрабатываться ответственными за защиту персональных данных в организации или сторонними экспертами. Разработчики модели угроз должны владеть полной информацией об информационной системе персональных данных, знать нормативную базу по защите информации.

Содержание модели угроз безопасности информационной системе

В модели угроз безопасности ИСПДн отражаются:

  • Непосредственно сами угрозы безопасности персональных данных. При обработке персональных данных в ИСПДн можно выделить следующие угрозы: создаваемые нарушителем (физическим лицом), создаваемые аппаратной закладкой, создаваемые вредоносными программами, угрозы специальных воздействий на ИСПДн, угрозы электромагнитного воздействия на ИСПДн, угрозы утечки информации по техническим каналам и т.д.
  • Источники угроз к ИСПДн. Возможными источниками угроз к ИСПДн могут быть: внешний нарушитель, внутренний нарушитель, программно-аппаратная закладка либо вредоносная программа.
  • Общая характеристика уязвимостей ИСПДн. В ней содержится информация об основных группах уязвимостей ИСПДн и их характеристиках, а также информация о причинах возникновения уязвимостей.
  • Используемые средства защиты информации. Для каждой ИСПДн должны быть определены необходимые меры по снижению опасности актуальных угроз.

Чтобы скачать частную модель угроз безопасности информационной системы для конкретного предприятия, ответьте на уточняющие вопросы и внесите данные в шаблон.

Модель угроз информационной безопасности ИСПДн

А также методическими документами ФСТЭК России:

- «Базовая модель угроз безопасности ПДн при их обработке в ИСПДн»

- «Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн»

Исходные данные

Исходными данными для проведения оценки и анализа служат:

Материалы «Акта проверки»;

Результаты анкетирования сотрудников различных подразделений и служб;

Методические документы ФСТЭК;

- требования постановления правительства;

Описание подхода к моделированию угроз безопасности ПДн

2.1.

Модель угроз безопасности разработана на основе методических документов ФСТЭК:

На основе «Базовой модели угроз безопасности ПДн при их обработке в ИСПДн» проведена классификация угроз безопасности и составлен перечень угроз безопасности.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью «Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн» построена модель угроз безопасности ПДн в составе ИСПДн АСУ и выявлены актуальные угрозы.

2.2.

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

2.3.

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

2.4.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

2.5.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Модель угроз

3.1.

Классификация угроз безопасности персональных данных

При обработке персональных данных в ИСПДн можно выделить следующие угрозы:

Наименование угрозы Описание угрозы Вероятность наступления Возможность реализации угрозы

3.2.

Источники угроз к ИСПДн

Источниками угроз в ИСПДн могут быть:

Наименование источника угроз Общая характеристика источника угроз

Применительно к основным типам информационных систем разработаны типовые модели угроз безопасности ПДн, характеризующие наступление различных видов последствий в результате несанкционированного или случайного доступа и реализации угрозы в отношении персональных данных. Всего таких моделей шесть и описаны они в документе ФСТЭК России «Базовая модель»:

    типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

    типовая модель угроз безопасности ПДн, обрабатываемых в автоматизированных рабочих местах, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

    типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

    типовая модель угроз безопасности ПДн, обрабатываемых в локальных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

    типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, не имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена;

    типовая модель угроз безопасности ПДн, обрабатываемых в распределенных ИСПДн, имеющих подключения к сетям общего пользования и (или) сетям международного информационного обмена.

Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и 8 внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования.

3. Методика и порядок выполнения работы.

На данном практическом занятии студенты выполняют следующие задания:

3.1. Изучают категории нарушителей, описанные в документе ФСТЭК России «Базовая модель».Для конкретной информационной системы определяют перечень вероятных нарушителей ИСПДн с учетом всех исключений.Результаты записывают в таблицу (см. таблицу 2).

3.2. Изучают модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составляют перечень всех возможных угроз по документу ФСТЭК России «Базовая модель». Результаты записывают в таблицу, см. пример 1.

Таблица 3.

Перечень всех возможных угроз безопасности ПДн.

Возможные угрозы безопасности ПДн

1. Угрозы от утечки по техническим каналам

1.1. Угрозы утечки акустической информации

1.2. Угрозы утечки видовой информации

1.3. Угрозы утечки информации по каналам ПЭМИН

2. Угрозы несанкционированного доступа к информации

2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн

2.1.1. Кража ПЭВМ

2.1.2. Кража носителей информации

2.1.3. Кража ключей и атрибутов доступа

2.1.4. Кражи, модификации, уничтожения информации

2.1.5. Вывод из строя узлов ПЭВМ, каналов связи

2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ

2.1.7. Несанкционированное отключение средств защиты

2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий)

2.2.1. Действия вредоносных программ (вирусов)

2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей

2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т. п.) характера

2.3.1. Утрата ключей и атрибутов доступа

2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками

2.3.3. Непреднамеренное отключение средств защиты

2.3.4. Выход из строя аппаратно-программных средств

2.3.5. Сбой системы электроснабжения

2.3.6. Стихийное бедствие

2.4. Угрозы преднамеренных действий внутренних нарушителей

2.4.1. Доступ к информации, копирование, модификация, уничтожение, лицами, не допущенными к ее обработке

2.4.2. Разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке

2.5.Угрозы несанкционированного доступа по каналам связи

2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации:

2.5.1.1. Перехват за переделами с контролируемой зоны

2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями

2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями.

2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.

2.5.3.Угрозы выявления паролей по сети

2.5.4.Угрозы навязывание ложного маршрута сети

2.5.5.Угрозы подмены доверенного объекта в сети

2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях

2.5.7.Угрозы типа «Отказ в обслуживании»

Аннотация: В лекции ведется изучение понятий и классификаций уязвимостей и угроз, рассмотрение наиболее распространенных атак. Состав и содержание организационно-распорядительной документации по защите ПД.

4.1. Угрозы информационной безопасности

При построении системы защиты персональных данных (далее СЗПД) ключевым этапом является построение частной модели угроз для конкретной организации. На основании этой модели в дальнейшем подбираются адекватные и достаточные средства защиты, в соответствии с принципами, рассмотренными в "Автоматизированная и неавтоматизированная обработка персональных данных" .

Под угрозами безопасности ПД при их обработке в ИСПД понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование , распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Появление угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.

Угрозы безопасности могут быть реализованы двумя путями:

  • через технические каналы утечки;
  • путем несанкционированного доступа.

Обобщенная схема реализации канала угроз ПД показана на рисунке 4.1


Рис. 4.1.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация . Среда распространения бывает однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т.д. Главное, что информация при этом отображается в виде полей, сигналов, образов, количественных характеристиках физических величин.

Как правило, выделяют следующие угрозы за счет реализации технических каналов утечки:

  • угрозы утечки речевой информации. Фактически злоумышленник перехватывает информацию с помощью специальной аппаратуры в виде акустических, виброакустических волн, а также электромагнитного излучения, модулированного акустическим сигналом. В качестве средств могут использоваться различного рода электронные устройства, подключаемые либо к каналам связи, либо к техническим средствам обработки ПД.
  • угрозы утечки видовой информации. В этом случае речь идет о непосредственном просмотре ПД при наличии прямой видимости между средством наблюдения и носителем ПД. В качестве средств наблюдения используются оптические средства и видеозакладки;
  • угрозы утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН). Речь идет о перехвате побочных (не связанных с прямым функциональным значением элементов ИСПД) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПД. Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПД. Наводки электромагнитных излучений возникают при излучении элементами технических средств ИСПД информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств ИСПД и различных вспомогательных устройств.

Источниками угроз , реализуемых за счет несанкционированного доступа к базам данных с использованием штатного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают регламентируемые в ИСПД правила разграничения доступа к информации. Этими субъектами могут быть:

  • нарушитель;
  • носитель вредоносной программы;
  • аппаратная закладка.

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПД при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства , обеспечивающие доступ к ресурсам ИСПД, нарушители подразделяются на два типа:

  • нарушители, не имеющие доступа к ИСПД, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, – внешние нарушители;
  • нарушители, имеющие доступ к ИСПД, включая пользователей ИСПД, реализующие угрозы непосредственно в ИСПД, – внутренние нарушители.

Для ИСПД, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПД, подключенные к сетям общего пользования.

Обобщим полученные знания с помощью рисунка 4.2 .


Рис. 4.2.

Угрозы можно классифицировать по различным признакам, например, по виду нарушаемого свойства информации ( конфиденциальность , целостность , доступность), по типу ИСПД, на которые направлена атака , по типу используемой для атаки уязвимости.

4.2. Общая характеристика уязвимостей информационной системы персональных данных

Появление потенциальных угроз безопасности связано с наличием слабых мест в ИСПД - уязвимостей. Уязвимость информационной системы персональных данных – недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении ИСПД, которые могут быть использованы для реализации угрозы безопасности персональных данных.

Причинами возникновения уязвимостей в общем случае являются:

  1. ошибки при разработке программного обеспечения;
  2. преднамеренные изменения программного обеспечения с целью внесения уязвимостей;
  3. неправильные настройки программного обеспечения;
  4. несанкционированное внедрение вредоносных программ;
  5. неумышленные действия пользователей;
  6. сбои в работе программного и аппаратного обеспечения.

Уязвимости, как и угрозы, можно классифицировать по различным признакам:

  1. по типу ПО – системное или прикладное.
  2. по этапу жизненного цикла ПО, на котором возникла уязвимость – проектирование, эксплуатация и пр.
  3. по причине возникновения уязвимости, например, недостатки механизмов аутентификации сетевых протоколов.
  4. по характеру последствий от реализации атак – изменение прав доступа, подбор пароля, вывод из строя системы в целом и пр.

Наиболее часто используемые уязвимости относятся к протоколам сетевого взаимодействия и к операционным системам, в том числе к прикладному программному обеспечению.

Уязвимости операционной системы и прикладного ПО в частном случае могут представлять:

  • функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
  • фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
  • отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
  • ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Так, например, протокол прикладного уровня FTP , широко используемый в Интернете, производит аутентификацию на базе открытого текста, тем самым позволяя перехватывать данные учетной записи.

Прежде чем приступать к построению системы защиты информации необходимо провести анализ уязвимостей ИСПД и попытаться сократить их количество, то есть использовать метод превентивности. Можно закрыть лишние порты, поставить "заплатки" на программное обеспечение (например, service pack для Windows ), ввести более сильные методы аутентификации и т.п. Эти меры могут существенно сократить материальные, временные и трудовые затраты на построение системы защиты персональных данных в дальнейшем.

4.3. Наиболее часто реализуемые угрозы

В связи с повсеместным развитием Интернета наиболее часто атаки производятся с использованием уязвимостей протоколов сетевого взаимодействия. Рассмотрим 7 наиболее распространенных атак.

  1. Анализ сетевого трафика

    Данный вид атаки направлен в первую очередь на получение пароля и идентификатора пользователя путем "прослушивания сети". Реализуется это с помощью sniffer – специальная программа-анализатор, которая перехватывает все пакеты, идущие по сети. И если протокол, например, FTP или TELNET, передает аутентификационную информацию в открытом виде, то злоумышленник легко получает доступ к учетной записи пользователя.


    Рис. 4.3.
  2. Сканирование сети

    Суть данной атаки состоит в сборе информации о топологии сети, об открытых портах, используемых протоколах и т.п. Как правило, реализация данной угрозы предшествует дальнейшим действиям злоумышленника с использованием полученных в результате сканирования данных.

  3. Угроза выявления пароля

    Целью атаки является преодоление парольной защиты и получении НСД к чужой информации. Методов для кражи пароля очень много: простой перебор всех возможных значений пароля, перебор с помощью специальных программ ( атака словаря ), перехват пароля с помощью программы-анализатора сетевого трафика.

  4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа. Доверенный объект – это элемент сети, легально подключенный к серверу.

    Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д.

    Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

    Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта . Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

    Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.

    В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПД– цели угроз.

  5. Навязывание ложного маршрута сети

    Данная атака стала возможной из-за недостатков протоколов маршрутизации (RIP, OSPF, LSP ) и управления сетью (ICMP, SNMP), таких как слабая аутентификация маршрутизаторов. Суть атаки состоит в том, что злоумышленник, используя уязвимости протоколов, вносит несанкционированные изменения в маршрутно-адресные таблицы.

  6. Внедрение ложного объекта сети

    Когда изначально объекты сети не знают информацию друг о друге, то для построения адресных таблиц и последующего взаимодействия, используется механизм запрос (как правило, широковещательный) - ответ с искомой информацией. При этом если нарушитель перехватил такой запрос, то он может выдать ложный ответ, изменить таблицу маршрутизации всей сети, и выдать себя за легального субъекта сети. В дальнейшем все пакеты, направленные к легальному субъекту, будут проходить через злоумышленника.

  7. Отказ в обслуживании

    Этот тип атак является одним из самых распространенных в настоящее время. Целью такой атаки является отказ в обслуживании, то есть нарушение доступности информации для законных субъектов информационного обмена.

Могут быть выделены несколько разновидностей таких угроз:

  • скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПД на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding ), шторм запросов на установление TCP-соединений (SYN- flooding ), шторм запросов к FTP-серверу;
  • явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов , дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN- flooding ), шторм сообщений почтовому серверу ( Spam );
  • явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS- flooding ) или идентификационной и аутентификационной информации;
  • явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", " Nuke ", "UDP- bomb ") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПД в ИСПД, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПД, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Мы рассмотрели наиболее часто реализуемые угрозы при сетевом взаимодействии. На практике угроз значительно больше. Частная модель угроз безопасности строится на основе двух документов ФСТЭК – "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Методика определения актуальных угроз безопасности персональных данных при их обработке в ИСПД" . Если организация большая, и в ней несколько систем ИСПД, наиболее разумным решением будет привлечение квалифицированных специалистов сторонних фирм для построения частной модели угроз и проектирования СЗПД.

4.4. Организационно-распорядительная документация по защите ПД

Помимо технических и процедурных решений создаваемой системы защиты персональных данных , оператор должен обеспечить разработку организационно - распорядительных документов, которые будут регулировать все возникающие вопросы по обеспечению безопасности ПД при их обработке в ИСПД и эксплуатации системы защиты персональных данных (далее СЗПД). Таких документов достаточно много, основные из них:

1. Положение по обеспечению безопасности ПД . Это внутренний (локальный) документ организации. Строгой формы данного документа нет, но он должен удовлетворять требованиям ТК и ФЗ-152, а, следовательно, в нем должно быть указано:

  • цель и задачи в области защиты персональных данных ;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор и хранение персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в пределах фирмы имеет к ним доступ;
    • по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Поэтому целесообразно прописать перечень информационных ресурсов, к которым пользователи допущены.

    Список лиц, допущенных к обработке ПД, можно оформить в виде приложения к Положению по обеспечению безопасности персональных данных или отдельным документом, утвержденным руководителем.

    3. Частная модель угроз (если ИСПД несколько, то модель угроз разрабатывается на каждую из них) – разрабатывается по результатам предварительного обследования. ФСТЭК России предлагает Базовую модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, согласно которой при создании частной модели должны быть рассмотрены:

    • угрозы утечки информации по техническим каналам;
    • угрозы несанкционированного доступа, связанные с действиями нарушителей, имеющих доступ к ИСПД, реализующих угрозы непосредственно в ИСПД. При этом необходимо в качестве потенциальных нарушителей рассматривать легальных пользователей ИСПД;
    • угрозы несанкционированного доступа, связанные с действиями нарушителей, не имеющих доступа к ИСПД, реализующих угрозы из внешних сетей связи общего пользования и(или) сетей международного информационного обмена.

    Разработанная модель угроз утверждается руководителем.

    4. На основании утвержденной модели угроз ИСПД необходимо разработать требования по обеспечению безопасности ПД при их обработке в ИСПД. Требования, как и модель угроз, - это самостоятельный документ, который должен быть утвержден руководителем организации.

    Для разработки модели угроз и требований оператору целесообразно привлекать специалистов организаций-лицензиатов ФСТЭК.

    5. Инструкции в части обеспечения безопасности ПД при их обработке в ИСПД.

    Мы рассмотрели только основные организационно-распорядительные документы. Помимо перечисленных документов необходимо составить Акт классификации ИСПД, Технический паспорт ИСПД, Электронный журнал регистрации обращений пользователей ИСПД на получение ПД, Регламент разграничения прав доступа, приказы о назначении лиц, работающих с ИСПД и т.п.

    Кроме того, до проведения всех мероприятий по защите ПД оператор должен назначить должностное лицо или (если ИСПД достаточно велика) структурное подразделение, ответственные за обеспечение безопасности ПД. Решение о назначении оформляется приказом руководителя. Задачи, функции и полномочия должностного лица ( подразделения ), ответственного за обеспечение безопасности ПД, определяются внутренними организационно-распорядительными документами (должностными инструкциями, регламентами).

Поделиться: