На данном практическом занятии выполняются следующие задачи:
3.1. Изучение категории нарушителей, описанные в документе ФСТЭК России «Базовая модель». Для конкретной информационной системы (приложение 1,2) определяют перечень вероятных нарушителей ИСПДн с учетом всех исключений. Результаты записывают в таблицу (см. таблицу 2).
3.2. Изучение модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составляют перечень всех возможных угроз по документу ФСТЭК России «Базовая модель». Результаты записывают в таблицу, см. пример 1.
Пример 1:
Таблица 3.
Перечень всех возможных угроз безопасности ПДн.
| Возможные угрозы безопасности ПДн |
| 1. Угрозы от утечки по техническим каналам |
| 1.1. Угрозы утечки акустической информации |
| 1.2. Угрозы утечки видовой информации |
| 1.3. Угрозы утечки информации по каналам ПЭМИН |
| 2. Угрозы несанкционированного доступа к информации |
| 2.1. Угрозы уничтожения, хищения аппаратных средств ИСПДн носителей информации путем физического доступа к элементам ИСПДн |
| 2.1.1. Кража ПЭВМ |
| 2.1.2. Кража носителей информации |
| 2.1.3. Кража ключей и атрибутов доступа |
| 2.1.4. Кражи, модификации, уничтожения информации |
| 2.1.5. Вывод из строя узлов ПЭВМ, каналов связи |
| 2.1.6. Несанкционированный доступ к информации при техническом обслуживании (ремонте, уничтожении) узлов ПЭВМ |
| 2.1.7. Несанкционированное отключение средств защиты |
| 2.2. Угрозы хищения, несанкционированной модификации или блокирования информации за счет несанкционированного доступа (НСД) с применением программно-аппаратных и программных средств (в том числе программно-математических воздействий) |
| 2.2.1. Действия вредоносных программ (вирусов) |
| 2.2.2. Недекларированные возможности системного ПО и ПО для обработки персональных данных |
| 2.2.3. Установка ПО, не связанного с исполнением служебных обязанностей |
| 2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и систем защиты ПДн в ее составе из-за сбоев в программном обеспечении, а также от сбоев аппаратуры, из-за ненадежности элементов, сбоев электропитания и стихийного (ударов молний, пожаров, наводнений и т. п.) характера |
| 2.3.1. Утрата ключей и атрибутов доступа |
| 2.3.2. Непреднамеренная модификация (уничтожение) информации сотрудниками |
| 2.3.3. Непреднамеренное отключение средств защиты |
| 2.3.4. Выход из строя аппаратно-программных средств |
| 2.3.5. Сбой системы электроснабжения |
| 2.3.6. Стихийное бедствие |
| 2.4. Угрозы преднамеренных действий внутренних нарушителей |
| 2.4.1. Доступ к информации, копирование, модификация, уничтожение, лицами, не допущенными к ее обработке |
| 2.4.2. Разглашение информации, копирование, модификация, уничтожение сотрудниками, допущенными к ее обработке |
| 2.5.Угрозы несанкционированного доступа по каналам связи |
| 2.5.1.Угроза «Анализ сетевого трафика» с перехватом передаваемой из ИСПДн и принимаемой из внешних сетей информации: |
| 2.5.1.1. Перехват за переделами с контролируемой зоны |
| 2.5.1.2. Перехват в пределах контролируемой зоны внешними нарушителями |
| 2.5.1.3.Перехват в пределах контролируемой зоны внутренними нарушителями. |
| 2.5.2.Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. |
| 2.5.3.Угрозы выявления паролей по сети |
| 2.5.4.Угрозы навязывание ложного маршрута сети |
| 2.5.5.Угрозы подмены доверенного объекта в сети |
| 2.5.6.Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях |
| 2.5.7.Угрозы типа «Отказ в обслуживании» |
| 2.5.8.Угрозы удаленного запуска приложений |
| 2.5.9.Угрозы внедрения по сети вредоносных программ |
Задания
1. Изучить документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». ФСТЭК России от 15.02.2008 г.
2. На основании документа «Базовая модель угроз» определяют Модель вероятного нарушителя путём сбора всех возможных категорий нарушителей.
3. На основании документа «Базовая модель угроз», пп. 6.1-6.6 определить перечень угроз безопасности для конкретной структуры ИСПДн, указанной в Приложении 1, 2 данной методики.
5. Содержание отчёта и его форма
Работа должна быть оформлена в электронном виде в формате.doc и распечатана на листах формата А4.
Приложение 1
Общие исходные данные для расчётов:
- Персональные данные - не общедоступные
- Наличие подключений ИСПДн к сетям связи общего пользования/сетям МИО - имеющие подключение.
- Все элементы ИСПДн находятся в пределах КЗ.
- Пользователи имеют разные права доступа к ПДн.
- Недекларированные возможности в ПО отсутствуют.
Приложение 2
Таблица 1. Индивидуальные исходные данные для расчётов:
| № п/п | Категория ПДн | Структура ИСПДн | Категории субъектов | Число субъектов ПДн |
| 1 | ПДн - Б | распределенная | Не сотрудников | ≤100 000 |
| 2 | ПДн – И | локальная | Сотрудников | ≥100 000 |
| 3 | ПДн – О | автономная | Не сотрудников | ≥100 000 |
| 4 | ПДн – Б | автономная | Сотрудников | ≤100 000 |
| 5 | ПДн – И | локальная | Не сотрудников | ≥100 000 |
| 6 | ПДн – И | распределенная | Сотрудников | ≤100 000 |
| 7 | ПДн – Б | автономная | Не сотрудников | ≥100 000 |
| 8 | ПДн – И | распределенная | Сотрудников | ≤100 000 |
| 9 | ПДн – О | автономная | Не сотрудников | ≥100 000 |
| 10 | ПДн – Б | локальная | Сотрудников | ≤100 000 |
