Базова модель загроз безпеці персональних. Модель загроз безпеці персональних даних

при їх обробці в інформаційній системі персональних даних

1. Загальні положення

Дана приватна модель загроз безпеці персональних даних при їх обробці в інформаційній системі персональних даних «СКУД» у ___________ (далі – ІСПДн) розроблена на підставі:

1) «Базової моделі загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних», затвердженої 15 лютого 2008 заступником директора ФСТЕК Росії;

2) «Методики визначення актуальних загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних», затвердженої 14 лютого 2008 заступником директора ФСТЕК Росії;

3) ГОСТ Р 51275-2006 «Захист інформації. Чинники, що впливають на інформацію. загальні положення».

Модель визначає загрози безпеці персональних даних, що обробляються в інформаційній системі персональних даних «СКУД».

2. Перелік загроз, що становлять потенційну небезпеку для персональних даних, оброблюваних у використуванні

Потенційну небезпеку для персональних даних (далі – ПДн) при їх обробці в ІСПДн становлять:

загрози витоку інформації з технічних каналів;

фізичні небезпеки;

погрози несанкціонованого доступу;

погрози персоналу.

1. Визначення актуальних загроз безпеці пДн при обробці в испДн

3.1. Визначення рівня вихідної захищеності іспДн

Рівень вихідної захищеності ІСПДн визначено експертним методом відповідно до «Методики визначення актуальних загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних» (далі – Методика), затвердженої 14 лютого 2008 р. заступником директора ФСТЕК Росії. Результати аналізу вихідної захищеності наведено у Таблиці 1.

Таблиця 1. Рівень вихідної безпеки

Технічні та експлуатаційні характеристики ІСПДн	Рівень захищеності
	Високий	Середній	Низький
1. По територіальномурозміщення
Локальна ІСПДн, розгорнута в межах однієї будівлі
2. Наявність з'єднання з мережами загального користування
ІСПДн, фізично відокремлена від мереж загального користування.
3. По вбудованих (легальних) операціях із записами баз ПДН
Читання, запис, видалення
4. За розмежуванням доступу до ПДН
ІСПДн, до якої має доступ певний перелік співробітників організації, що є власником ІСПДн, або суб'єкт ПДН
5. За наявності з'єднань з іншими базами ПДн інших ІСПДн
ІСПДн, в якій використовується одна база ПДН, що належить організації - власнику даної ІСПДн
6. За рівнем узагальнення (знеособлення) ПДН
ІСПДн, в якій дані, що надаються користувачеві, не є знеособленими (тобто присутня інформація, що дозволяє ідентифікувати суб'єкта ПДн)
7. За обсягом ПДн, якінадаються стороннім користувачам ІСПД без попередньої обробки
ІСПДн, що надає частину ПДН
Характеристики ІСПДн

Таким чином, ІСПД має середній (Y 1 =5 ) рівень вихідної захищеності, тому що більше 70% характеристик ІСПДн відповідають рівню захищеності не нижче «середній», але менше 70% характеристик ІСПДн відповідають рівню «високий».

УДК 004.056

І. В. Бондар

МЕТОДИКА ПОБУДУВАННЯ МОДЕЛІ ЗАГРОЗ БЕЗПЕКИ ІНФОРМАЦІЇ ДЛЯ АВТОМАТИЗОВАНИХ СИСТЕМ*

Розглядається методика побудови моделі загроз для безпеки інформації. Метою моделювання є контроль рівня захищеності інформаційної системиметодами аналізу ризику та розробка ефективної системи захисту інформації, що забезпечує нейтралізацію передбачуваних загроз відповідними захисними заходами.

Ключові слова: модель загроз, інформаційна система, модель системи захисту інформації.

В даний час особливої ​​актуальності набуває розробка методології, що дозволяє в рамках єдиного підходу вирішувати завдання проектування автоматизованих систем у захищеному виконанні з дотриманням вимог нормативно-методичних документів та автоматичною генерацією переліку захисних заходів та пошуку оптимального набору засобів захисту інформації (СЗІ), що відповідають даному переліку.

Одними з основних завдань забезпечення інформаційної безпекиє визначення переліку загроз та оцінка ризиків впливу актуальних загроз, що дозволяє обґрунтувати раціональний склад системи захисту інформації. Хоча завдання такого роду вже вирішуються (див., наприклад, ), у тому числі і в рамках єдиної методології, всі вони не позбавлені обмежень і спрямовані на формування моделі загроз, придатної для вирішення приватного завдання. Особливо хочеться відзначити рідкість спроб візуалізації моделей загроз.

У цій статті представлена ​​методика моделювання загроз безпеці інформації для автоматизованих систем, заснована на геометричній моделі. Ця методика цікава насамперед універсальністю обліку негативних впливів, що раніше зустрічалося лише у роботі , де модель будувалася з урахуванням теорії збурень, і можливість візуалізації результату . Звичайний шлях візуалізації – використання карт Кохонена з властивими їм обмеженнями та недоліками – автором не розглядається, що підвищує універсальність рішення.

Геометрична модель СЗІ. Нехай Р = (р Р2, ■ ■ -, Р2) - безліч засобів захисту, а А = (АЬ а2, ..., ап) - безліч атак. Ті атаки, які можуть бути виражені комбінаціями атак, назвемо незалежними. Їх множина А є підмножиною множини А - базисом атак. Виберемо для побудови геометричної моделі СЗІ простір К1, розмірність якого збігається з потужністю множини А.

Будь-якій атаці АеА поставлені у відповідність певні засоби захисту (р"ь р"2, ..., р"к) з Р. Позначимо це безліч (р"ьр"2, ..., р"і) = Рп-.

Якщо засіб не належить безлічі РГІ, то для нього атака АІ не небезпечна.

Осі координат у просторі Кп є класами загроз. Одиниця виміру на осях координат є незалежною атакою, якою поставлено у відповідність засіб захисту. Для кожної атаки значення координат відповідного вектора вказують засоби захисту, що входять до складу досліджуваної системи.

Як приклад, розглянемо атаку «НСД до інформації, що зберігається на АРМ, зовнішнім порушником» у декартовому просторі, де вісь х – загрози, пов'язані з фізичною охороною; у - погрози, пов'язані з програмно-апаратним захистом; z – загрози, пов'язані з організаційно-правовим захистом (рис. 1). Атака може бути реалізована у разі невиконання трьох заходів захисту: «Сторонній у контрольованій зоні», «Незаблокований сеанс ОЗ» та «Порушення ПБ».

Рис. 1. Модель атаки "НСД до інформації, що зберігається на АРМ, зовнішнім порушником"

Ця атака може бути реалізована й іншими способами, такими як «Підключення до технічним засобамта систем ОІ», «Використання закладних засобів», «Маскування під зареєстрованого користувача», «Дефекти та вразливості ПЗ», «Внесення програмних закладок», «Застосування вірусів та іншого шкідливого програмного коду», «Розкрадання носія інформації, що захищається», «Порушення функціонування ТЗ обробки інформації» (рис. 2).

*Робота виконана в рамках реалізації ФЦП «Дослідження та розробки за пріоритетними напрямками розвитку науково-технологічного комплексу Росії на 2007-2013 роки» (ДК № 07.514.11.4047 від 06.10.2011).

Спочатку кожен вектор Р1 знаходиться у першому координатному октанті. Побудуємо в Я поверхню опуклого багатогранника £ так, щоб кожна з його вершин збігалася з кінцем одного з векторів р1, р2, рг. Поверхня багатогранника £ разом з векторами р1, р2, ., р2 будемо розглядати в якості геометричної моделі СЗІ.

Рис. 2. Модель атаки "НСД до інформації, що зберігається на АРМ, зовнішнім порушником"

Результат впливу будь-якої атаки А(природно формалізувати відображенням вектора вздовж осі з невиконаним заходом захисту. Завдяки такому способу моделювання вектори, відповідні засобам, для яких дана атакане небезпечна, не змінять свого становища (рис. 3).

Отже, після впливу атаки А при запропонованому способі моделювання зміниться лише і-я координата векторів р1, р2, ..., рг, що входять в геометричну модель, а всі інші координати залишаться без зміни.

За результатами моделювання атак можна судити про чутливість або нечутливість інформаційної системи (ІС) до впливів, що обурюють. Якщо координати багатогранника належать

першому координатному октанту, робиться висновок про нечутливість ІВ до обурювального впливу, в іншому випадку робиться висновок про недостатність захисних заходів. Міра стійкості зводиться до проведення такої кількості ітерацій, при якому ІС залишається незворушеним до впливів комбінацій атак.

Модель загроз. Первинний перелік загроз формується комбінаціями різноманітних факторів, що впливають на інформацію, що захищається, категоріями засобів захисту та рівнями впливу порушників (рис. 4).

Виявлення та облік факторів, які впливають або можуть впливати на інформацію, що захищається в конкретних умовах, становлять основу для планування та проведення ефективних заходів, що забезпечують захист інформації на об'єкті інформатизації. Повнота і достовірність виявлення факторів досягається шляхом розгляду багатьох факторів, що впливають на всі елементи об'єкта інформатизації на всіх етапах обробки інформації. Перелік основних підкласів (груп, підгруп тощо) факторів відповідно до їх класифікації представлений у розділі 6 ГОСТ 51275-2006 «Захист інформації. Об'єкт інформатизації. Чинники, що впливають на інформацію. Загальні положення".

Загрози витоку інформації з технічних каналів однозначно описуються характеристиками джерела інформації, середовища (шляху) поширення та приймача інформативного сигналу, тобто визначаються характеристиками технічного каналу витоку інформації.

Формування вторинного переліку загроз відбувається за рахунок його поповнення на основі статистики про інциденти, що мали місце, і виходячи з умовного ступеня їх деструктивного впливу.

Ступінь обурювального впливу може бути визначений:

Ймовірністю виникнення небезпеки;

Втратою від загрози;

Час відновлення системи.

Рис. 3. Результати моделювання

Рівень впливу порушників

Рис. 4. БЯ-модель бази даних моделі загроз у нотації Чена

Обурювальна дія може навести:

До порушення конфіденційності інформації (копіювання або несанкціонованого поширення), коли при реалізації загроз не здійснюється безпосереднього впливу на зміст інформації;

Несанкціонованого, у тому числі випадкового, впливу на зміст інформації, внаслідок якого здійснюється зміна інформації або її знищення;

Несанкціонованого, у тому числі випадкового, впливу на програмні або програмно-апаратні елементи ІС, в результаті якого відбувається блокування інформації;

Втрата підзвітності користувачів системи або суб'єктів, що діють від імені користувача, що є особливо небезпечним для розподілених систем;

Втрата автентичності даних;

Втрата достовірності систем.

Мера ризику, що дозволяє порівняти загрози та вибудовувати їх за пріоритетністю, може бути визначена загальною шкодою від кожного виду проблем.

Результатом оцінки ризику виникнення кожної загрози має бути:

Комплексне застосування відповідних засобів захисту;

Розумне та цільове прийняття ризиків, що забезпечує повне задоволення вимог політик організації та її критеріїв прийняття ризиків;

Максимально можлива відмова від ризиків, перенесення пов'язаних бізнес-ризиків на інші сторони, наприклад на страховиків, постачальників та ін.

Розглянута методика побудови моделі загроз дозволяє вирішувати завдання розробки приватних моделей загроз безпеці інформації у конкретних системах з урахуванням їх призначення, умов та особливостей функціонування. Метою такого моделювання є контроль за рівнем захищеності ІВ методами аналізу ризику та розробка ефективної системи захисту інформації, що забезпечує нейтралізацію передбачуваних загроз.

Надалі дана методика може бути основою для розробки універсальних алгоритмічних, а потім і математичних моделейбезпеки, що ефективно поєднують у собі вимоги нормативно-методичних документів, методологію побудови моделей загроз, моделей порушника тощо. Наявність такого методологічного забезпечення

дозволить перейти на якісно більше високий рівеньпроектування, розробки та оцінки захищеності систем захисту інформації.

1. Кобозєва А. А., Хорошко В. А. Аналіз інформаційної безпеки: монографія. Київ: Вид-во Держ. ун-ту інформ.-комунікац. технологій, 2009.

2. Васильєв В. І., Машкіна І. В., Степанова Є. С. Розробка моделі загроз на основі побудови нечіткої когнітивної картки для чисельної оцінки ризику порушень інформаційної безпеки // Ізв. Пд. федер. ун-ту. Технічні науки. 2010. Т. 112, № 11. С. 31-40.

3. Operationally Critical Threat, Asset, і Vulnerability Evaluation (Octave) Framework: Techn. Rep. CMU/SEI-SS-TR-017 / C. J. Alberts, S. G. Behrens, R. D. Pethia, W. R. Wilson; Carnegie Mellon Univ. Pittsburgh, PA, 2005.

4. Burns S. F. Threat Modeling: Process to Ensure Application Security // GIAC Security Essentials

Certification Practical Assignment. Version 1.4c/SANS Inst. Bethesola, Md, 2005.

5. Попов А. М., Золотарьов В. В., Бондар І. В. Методика оцінки захищеності інформаційної системи за вимогами стандартів інформаційної безпеки // Інформатика та системи упр. / Тихо-океан. держ. ун-т. Хабаровськ, 2010. № 4 (26). З. 3-12.

6. Аналіз надійності та ризику спеціальних систем: монографія / М. Н. Жукова, В. В. Золотарьов, І. А. Панфілов та ін; Сиб. держ. аерокосміч. ун-т. Красноярськ, 2011.

7. Жуков У. Р., Жукова М. М., Стефаров А. П.

Модель порушника прав доступу до автоматизованої системи // Програм. продукти та системи / НДІ Центрпрограмсистем. Твер, 2012. Вип. 2.

8. Система підтримки прийняття рішень щодо захисту інформації «ОАЗІС» / І. В. Бондар, В. В. Золотарьов, А. В. Гуменнікова, А. М. Попов // Програм. продукти та системи / НДІ Центрпрограмсистем. Твер, 2011. Вип. 3. С. 186-189.

CONSTRUCTION METHOD FOR INFORMATION SECURITY THREAT MODELS

OF AUTOMATED SYSTEMS

Автори розглядають technique of threat models constructing. Принцип моделювання полягає в тому, щоб контролювати інформаційну систему безпеки рівень з ризиком аналізу методів і розкриває розвиток ефективного інформаційного захисту системи, що забезпечує неперевіреність спричинених threats with appropriate security measures.

Keywords: threat model, information system, information security system model.

© Бондар І. В., 2012

В. В. Буряченко

СТАБІЛІЗАЦІЯ ВІДЕО ДЛЯ СТАТИЧНОЇ СЦЕНИ НА БАЗІ МОДИФІКОВАНОГО МЕТОДУ ВІДПОВІДНОСТІ БЛОКІВ

Розглянуто основні підходи до стабілізації відеоматеріалів, зокрема, перебування глобального руху кадру, викликаного зовнішніми впливами. Побудовано алгоритм стабілізації відеоматеріалів на основі модифікованого методу відповідності блоків для послідовних кадрів.

Ключові слова: стабілізація відео, метод відповідності блоків, розподіл гауса.

Цифрова система стабілізації зображення в першу чергу оцінює небажані рухи, а потім виправляє послідовності зображень, компенсуючи вплив зовнішніх факторів: нестабільності зйомки, погодних умов тощо. зосереджено на моделюванні та реалізації алгоритмів, які можуть ефективно працювати на апаратних платформах.

Існує два основних підходи до вирішення проблеми стабілізації відеоматеріалів: механічний підхід (оптична стабілізація) та цифрова обробка зображень. Механічний підхід застосовується в оптичних системах для налаштування датчиків руху під час тремтіння відеокамери та означає використання стійкої установки відеокамери або наявність гіроскопічних стабілізаторів. Незважаючи на те, що цей підхід може добре працювати на практиці, він майже не використовується через високу вартість приладів стабілізації та наявності

У Наразізаймаюся переглядом приватної політики щодо ризиків порушення інформаційної безпеки та оновленням моделі загроз ІБ.

У ході роботи я зіткнувся з деякими складнощами. Про те, як я їх вирішив і розробив приватну модель загроз, і йтиметься далі.

Раніше багато банків використовували Галузеву модель загроз безпеки ПДН, взяту з Рекомендації в галузі стандартизації ЦБР РС БР ІББС-2.4-2010 "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Галузева приватна модель загроз безпеці персональних даних при їх обробці в інформаційних системах персональних даних організацій банківської системи Російської Федерації" (РС БР ІББС-2.4-2010). Але у зв'язку з виданням інформації Банку Росії від 30.05.2014 документ втратив чинність. Зараз її потрібно розробляти самому.

Не багато хто знає, що з виходом Рекомендації в галузі стандартизації Банку Росії "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Запобігання витоку інформації" РС БР ІББС-2.9-2016 (РС БР ІББС-2.9-2016) відбулася підміна понять. Тепер при визначенні переліку категорій інформації та переліку типів інформаційних активіврекомендується орієнтуватися на зміст п.6.3 та 7.2 РС БР ІББС-2.9-2016. Раніше це був п.4.4 Рекомендацій у галузі стандартизації Банку Росії "Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Методика оцінки ризиків порушення інформаційної безпеки" РС БР ІББС-2.2-2009 (РС БР ІББС-2.2-2009). Я навіть звертався до ЦП за роз'ясненнями:

Основні джерела загрозперераховані у п.6.6 Стандарті Банку Росії «Забезпечення інформаційної безпеки організацій банківської системи Російської Федерації. Загальні положення» СТО БР ІББС-1.0-2014 (СТО БР ІББС-1.0-2014). Потенціал порушникаможна взяти звідси.

У загальному випадку, при визначенні актуальних загроз ІБНеобхідно брати до уваги інциденти ІБ, які відбувалися в організації, відомості з аналітичних звітів регуляторів та компаній, що надають послуги із забезпечення інформаційної безпеки, та експертну думку фахівців компанії.

Також загрози ІБвизначаються відповідно до Вказівки Банку Росії від 10.12.2015 N 3889-У "Про визначення загроз безпеці персональних даних, актуальних при обробці персональних даних в інформаційних системах персональних даних (3889-У), додатком 1 РС БР ІББС-2.2-2009, таблицею 1 РС БР ІББС-2.9-2016 (її я зробив окремим додатком), Банком даних загроз безпеці інформації ФСТЕК Росії (БДУ).

До речі, зауважив, що деякі погрози з 3889-У дублюють погрози з БДУ:

• загроза впливу шкідливого коду, Зовнішнього по відношенню до інформаційної системи персональних даних - УБІ.167, УБІ.172, УБІ.186, УБІ.188, УБІ.191;
• загроза використання методів соціального інжинірингу до осіб, які мають повноваження в інформаційній системі персональних даних - УБИ.175;
• загроза несанкціонованого доступу до персональних даних особами, які не мають повноваження в інформаційній системі персональних даних, з використанням уразливостей у програмне забезпеченняінформаційної системи персональних даних – УБІ.192;

У зв'язку з цим виключив дублюючі загрози з 3889-У на користь УБІ, т.к. в їх описі міститься додаткова інформація, Що полегшує заповнення таблиць з моделлю загроз та оцінкою ризиків ІБ.

Актуальні погрози джерела загроз "Несприятливі події природного, техногенного та соціального характеру"статистику МНС РФ про надзвичайні ситуації та пожежі.

Актуальні погрози джерела загроз "Терористи та кримінальні елементи"можна визначити, орієнтуючись на статистику МВС РФ про стан злочинності та розсилку новин "Злочини у банківській сфері".

на даному етапіми визначилися з джерелами загроз ІБ та актуальними загрозами ІБ. Тепер перейдемо до створення таблиці із моделлю загроз ІБ.

За основу я взяв таблицю "Галузева модель загроз безпеки ПДн" із РС БР ІББС-2.4-2010. Колонки "Джерело загрози" та "Рівень реалізації загрози" заповнюються відповідно до вимог п.6.7 та п.6.9 СТО БР ІББС-1.0-2014. У нас залишаються порожніми колонки "Типи об'єктів середовища" та "Загроза безпеки". Останню я перейменував на "Наслідки реалізації загрози", як у БДУ (на мій погляд, так вірніше). Для їх заповнення нам буде потрібний опис наших загроз з БДУ.

Як приклад розглянемо "УБИ.192: Загроза використання вразливих версій програмного забезпечення":
Опис загрози: загроза полягає у можливості здійснення порушником деструктивного впливу на систему шляхом експлуатації вразливостей програмного забезпечення. Ця загроза обумовлена ​​??слабкостями механізмів аналізу програмного забезпечення на наявність уразливостей. Реалізація цієї загрози можлива за відсутності перевірки перед застосуванням програмного забезпечення на наявність у ньому вразливостей.
Джерела загрози: внутрішній порушник із низьким потенціалом; зовнішній порушник із низьким потенціалом.
Об'єкт впливу: прикладне програмне забезпечення, мережеве програмне забезпечення, системне програмне забезпечення.
Наслідки реалізації загрози: порушення конфіденційності, порушення цілісності, порушення доступності.

Для зручності я розподілив типи об'єктів середовища(Об'єкти впливу) за рівнями реалізації загрози ( рівням інформаційної інфраструктури банку).

Список об'єктів середовищая скомпонував з п.7.3 РС БР ІББС-2.9-2016, п.4.5 РС БР ІББС-2.2-2009 та з опису УБІ. Рівні реалізації загрозипредставлені у п.6.2 СТО БР ІББС-1.0-2014.

Т.о. ця загроза зачіпає такі рівні: рівень мережевих додатків та сервісів; рівень банківських технологічних процесів та додатків.

Те саме зробив з іншими загрозами ІБ.

В результаті вийшла така таблиця.

Класифікація несанкціонованих впливів

Під загрозою розуміється потенційно існуюча можливість випадкової чи навмисної дії (бездіяльності), внаслідок якої можуть бути порушені основні властивості інформації та систем її обробки: доступність, цілісність та конфіденційність.

Знання спектру потенційних загроз інформації, що захищається, уміння кваліфіковано та об'єктивно оцінити можливість їх реалізації та ступінь небезпеки кожної з них, є важливим етапомскладного процесу організації та забезпечення захисту. Визначення повної множини загроз ІХ практично неможливе, але щодо повний описїх, стосовно об'єкту, що розглядається, може бути досягнуто при детальному складанні моделі загроз.

Віддалені атаки класифіковані за характером та метою впливу, за умовою початку здійснення впливу та наявності зворотнього зв'язкуз об'єктом, що атакується, за розташуванням об'єкта щодо об'єкта, що атакується, і за рівнем еталонної моделівзаємодії відкритих системЕМВОС, у якому здійснюється вплив.

Класифікаційні ознаки об'єктів захисту та загроз безпеки автоматизованим системамі можливі способи несанкціонованого доступу (НСД) до інформації в АС, що захищаються:

• 1) за принципом НДД:
  • - Фізичний. Може бути реалізований при безпосередньому або візуальному контакті з об'єктом, що захищається;
  • - Логічний. Передбачає подолання системи захисту за допомогою програмних засобівшляхом логічного проникнення у структуру АС;
• 2) по дорозі НДД:
  • - Використання прямого стандартного шляху доступу. Використовуються слабкості встановленої політики безпеки та процесу адміністративного управління мережею. Результатом може бути маскування під санкціонованого користувача;
  • - Використання прихованого нестандартного шляху доступу. Використовуються недокументовані особливості (слабкості) системи захисту (недоліки алгоритмів та компонентів системи захисту, помилки реалізації проекту системи захисту);
  • - Особливу за ступенем небезпеки групу становлять загрози ІБ, що здійснюються шляхом впливів порушника, які дозволяють не тільки здійснювати несанкціонований вплив (НСВ) на інформаційні ресурсисистеми та впливати на них шляхом використання засобів спеціального програмного та програмно-технічного впливу, а також забезпечувати НСД до інформації.
• 3) за ступенем автоматизації:
  • - Виконуються за постійної участі людини. Може використовуватись загальнодоступне (стандартне) програмне забезпечення. Атака проводиться у формі діалогу порушника з системою, що захищається;
  • - Виконувані спеціальними програмамибез безпосередньої участі. Застосовується спеціальне ПЗ, розроблене найчастіше за вірусною технологією. Як правило, такий спосіб НСД для реалізації атаки краще;
• 4) за характером впливу суб'єкта НСД на об'єкт захисту:
  • - пасивне. Не безпосередньо впливає на АС, але здатне порушити конфіденційність інформації. Прикладом є контроль каналів зв'язку;
  • - Активне. До цієї категорії відноситься будь-який несанкціонований вплив, кінцевою метою якого є здійснення будь-яких змін в АС, що атакується;
• 5) за умовою початку впливу:
  • - атака за запитом від об'єкта, що атакується. Суб'єкт атаки спочатку умовно пасивний і чекає від атакованої АС запиту певного типу, слабкості якого використовуються для здійснення атаки;
  • - атака по наступу очікуваної події на об'єкті, що атакується. За ОС об'єкта атаки ведеться спостереження. Атака починається, коли АС перебуває у вразливому стані;
  • - Безумовна атака. Суб'єкт атаки виробляє активний впливоб'єкт атаки незалежно від стану останнього;
• 6) за метою впливу. Безпека розглядають як сукупність конфіденційності, цілісності, доступності ресурсів та працездатності (стійкості) АС, порушення яких знайшло відображення у моделі конфлікту;
• 7) за наявності зворотного зв'язку з об'єктом, що атакується:
  • - З зворотним зв'язком. Мається на увазі двоспрямована взаємодія між суб'єктом та об'єктом атаки з метою отримання від об'єкта атаки будь-яких даних, що впливають на подальший перебіг НСД;
  • - Без зворотного зв'язку. Односпрямована атака. Суб'єкт атаки не потребує діалогу з атакованою АС. Прикладом є організація надісланого "шторму" запитів. Мета – порушення працездатності (стійкості) АС;
• 8) на кшталт використовуваних слабкостей захисту:
  • - Недоліки встановленої політики безпеки. Розроблена для АС політика безпеки неадекватна критеріям безпеки, що використовується для виконання НСД:
  • - Помилки адміністративного управління;
  • - недокументовані особливості системи безпеки, зокрема пов'язані з ПО, - помилки, нездійснені оновлення ОС, вразливі послуги, незахищені зміни за промовчанням;
  • - Недоліки алгоритмів захисту. Алгоритми захисту, використані розробником для побудови системи захисту інформації, не відображають реальних аспектів обробки інформації та містять концептуальні помилки;
  • - Помилки реалізації проекту системи захисту. Реалізація проекту системи захисту не відповідає закладеним розробниками системи принципам.

Логічні ознаки об'єктів захисту:

• 1) політика безпеки. Являє собою сукупність документованих концептуальних рішень, спрямованих на захист інформації та ресурсів, і включає цілі, вимоги до інформації, що захищається, сукупність заходів з ІБ, обов'язки осіб, відповідальних за ІБ;
• 2) процес адміністративного управління. Включає керування конфігурацією та продуктивністю мережі, доступом до мережевим ресурсам, заходи підвищення надійності функціонування мережі, відновлення працездатності системи та даних, контроль норм та коректності функціонування засобів захисту відповідно до політики безпеки;
• 3) компоненти системи захисту:
  • - Система криптографічного захистуінформації;
  • - Ключова інформація;
  • - паролі;
  • - інформація про користувачів (ідентифікатори, привілеї, повноваження);
  • - параметри налаштування системи захисту;
• 4) протоколи. Як сукупність функціональних та експлуатаційних вимог до компонентів мережного програмно-апаратного забезпечення, повинні мати коректність, повноту, несуперечність;
• 5) функціональні елементи обчислювальних мереж. Повинні бути захищені у випадку від навантажень і знищення " критичних " даних.

Можливі способи та методи здійснення НСД (види атак):

• 1) аналіз мережевого трафіку, дослідження ЛОМ та засобів захисту для пошуку їх слабкостей та дослідження алгоритмів функціонування АС. У системах з фізично виділеним каналом зв'язку передача повідомлень здійснюється безпосередньо між джерелом та приймачем, минаючи інші об'єкти системи. У такій системі за відсутності доступу до об'єктів, через які здійснюється передача повідомлення, не існує програмної можливостіаналізу мережевого трафіку;
• 2) введення у мережу несанкціонованих устройств.
• 3) перехоплення даних з метою розкрадання, модифікації або переадресації;
• 4) підміна довіреного об'єкта в АС.
• 5) впровадження у мережу несанкціонованого маршруту (об'єкта) шляхом нав'язування хибного маршруту з перенаправленням через нього потоку повідомлень;
• 6) впровадження у мережу хибного маршруту (об'єкта) шляхом використання недоліків алгоритмів віддаленого пошуку;
• 7) використання вразливостей загальносистемного та прикладного ПЗ.
• 8) криптоаналіз.
• 9) використання недоліків у реалізації криптоалгоритмів та криптографічних програм.
• 10) перехоплення, підбір, підміна та прогнозування генерованих ключів та паролів.
• 11) призначення додаткових повноважень та зміна параметрів налаштування системи захисту.
• 12) Використання програмних закладок.
• 13) порушення працездатності (стійкості) АС шляхом внесення навантаження, знищення "критичних" даних, виконання некоректних операцій.
• 14) доступ до комп'ютера мережі, який приймає повідомлення або виконує функції маршрутизації;

Класифікація зловмисників

Можливості здійснення шкідницьких впливів великою мірою залежить від статусу зловмисника стосовно КС. Зловмисником може бути:

• 1) розробник КС;
• 2) співробітник із числа обслуговуючого персоналу;
• 3) користувач;
• 4) стороння особа.

Розробник володіє найбільш повною інформацієюпро програмні та апаратні засоби КС. Користувач має загальне уявлення про структури КС, роботу механізмів захисту інформації. Він може здійснювати збирання даних про систему захисту інформації методами традиційного шпигунства, а також робити спроби несанкціонованого доступу до інформації. Стороння особа, яка не має відношення до КС, перебуває у найменш вигідному становищі щодо інших зловмисників. Якщо припустити, що він не має доступу на об'єкт КС, то в його розпорядженні є дистанційні методи традиційного шпигунства та можливість диверсійної діяльності. Він може здійснювати шкідницькі дії з використанням електромагнітних випромінюваньта наведень, а також каналів зв'язку, якщо КС є розподіленою.

Великі можливості шкідницьких впливів на інформацію КС мають фахівці, які обслуговують ці системи. Причому, фахівці різних підрозділів мають різні потенційні можливості зловмисних дій. Найбільшої шкоди можуть завдати працівники служби безпеки інформації. Далі йдуть системні програмісти, прикладні програмісти та інженерно-технічний персонал.

Насправді небезпека зловмисника залежить також від фінансових, матеріально-технічних можливостей та кваліфікації зловмисника.

Сучасна система забезпечення інформаційної безпеки має будуватися на основі комплексування різноманітних заходів захисту та спиратися на сучасні методипрогнозування, аналізу та моделювання можливих загроз безпеці інформації та наслідків їх реалізації.

Результати моделювання призначені для вибору адекватних оптимальних методів парування загроз.

Як скласти приватну модель загроз безпеці інформаційної системи

На стадії моделювання проводиться вивчення та аналіз існуючої обстановки та виявляються актуальні загрози безпеці ПДН у складі ІСПДн. Для кожної виявленої ІСПДн складається своя модель загроз.

Модель загроз безпеці інформаційної системи будується відповідно до вимог Федерального Закону від 27.07.2006 р. № 152-ФЗ «Про персональні дані». Крім того, можуть використовуватися методичні документи ФСТЕК Росії: «Базова модель загроз безпеки ПДН при їх обробці в ІСПДн», «Методика визначення актуальних загроз безпеки ПДн під час їх обробки в ІСПДн».

Вихідними даними щодо оцінки та аналізу зазвичай служать матеріали «Акту перевірки», результати анкетування співробітників різних підрозділів і служб, методичні документи ФСТЭК тощо.

Приватна модель загроз безпеці інформаційної системи має бути затверджена керівником організації чи комісією на підставі звіту про результати проведення внутрішньої перевірки.

Модель загроз може розроблятися відповідальними за захист персональних даних організації чи сторонніми експертами. Розробники моделі загроз повинні мати повну інформацію про інформаційну систему персональних даних, знати нормативну базу захисту інформації.

Зміст моделі загроз безпеці інформаційної системи

У моделі загроз безпеці ІСПД відбиваються:

• Безпосередньо самі загрози безпеці персональних даних. При обробці персональних даних в ІСПД можна виділити такі загрози: створювані порушником ( фізичною особою), створювані апаратною закладкою, створювані шкідливими програмами, загрози спеціальних впливів на ІСПДн, загрози електромагнітного на ІСПДн, загрози витоку інформації з технічних каналів тощо.
• Джерела загроз до ІСПДн. Можливими джерелами загроз до ІСПД можуть бути: зовнішній порушник, внутрішній порушник, програмно-апаратна закладка або шкідлива програма.
• Загальна характеристика вразливостей ІСПДН. У ній міститься інформація про основні групи вразливостей ІСПДн та їх характеристики, а також інформація про причини виникнення вразливостей.
• Засоби захисту інформації, що використовуються. Для кожної ІСПД повинні бути визначені необхідні заходи щодо зниження небезпеки актуальних загроз.

Щоб скачати приватну модель загроз безпеці інформаційної системи для конкретного підприємства, дайте відповідь на уточнюючі питання та внесіть дані до шаблону.

Модель загроз інформаційної безпеки ІСПДн

А також методичними документами ФСТЕК Росії:

- «Базова модель загроз безпеці ПДН при їх обробці в ІСПДН»

- «Методика визначення актуальних загроз безпеці ПДН при їх обробці в ІСПДН»

Початкові дані

Вихідними даними для проведення оцінки та аналізу є:

Матеріали "Акту перевірки";

Результати анкетування співробітників різних підрозділів та служб;

Методичні документи ФСТЕК;

- вимоги ухвали уряду;

Опис підходу до моделювання загроз безпеці ПДН

2.1.

Модель загроз безпеки розроблена на основі методичних документів ФСТЕК:

На основі «Базової моделі загроз безпеці ПДН при їх обробці в ІСПДн» проведено класифікацію загроз безпеці та складено перелік загроз безпеці.
На основі складеного переліку загроз безпеки ПДн у складі ІСПДн за допомогою «Методики визначення актуальних загроз безпеки ПДн при їх обробці в ІСПДн» побудовано модель загроз безпеки ПДн у складі ІСПДн АСУ та виявлено актуальні загрози.

2.2.

Під актуальними загрозами безпеці персональних даних розуміється сукупність умов та факторів, що створюють актуальну небезпеку несанкціонованого, у тому числі випадкового, доступу до персональних даних при їх обробці в інформаційній системі, результатом якого можуть стати знищення, зміна, блокування, копіювання, надання, розповсюдження персональних даних , і навіть інші неправомірні дії.

2.3.

Загрози 1-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у системному програмному забезпеченні, що використовується в інформаційній системі.

2.4.

Загрози 2-го типу є актуальними для інформаційної системи, якщо для неї в тому числі актуальні загрози, пов'язані з наявністю недокументованих (недекларованих) можливостей у прикладному програмному забезпеченні, що використовується в інформаційній системі.

2.5.

Загрози 3-го типу є актуальними для інформаційної системи, якщо для неї актуальні загрози, не пов'язані з наявністю недокументованих (недекларованих) можливостей у системному та прикладному програмному забезпеченні, що використовується в інформаційній системі.

Модель погроз

3.1.

Класифікація загроз безпеці персональних даних

При обробці персональних даних в ІСПД можна виділити такі загрози:

№	Найменування загрози	Опис загрози	Ймовірність настання	Можливість реалізації загрози

3.2.

Джерела загроз до ІСПД

Джерелами загроз в ІСПД можуть бути:

№	Найменування джерела загроз	Загальна характеристика джерел загроз