ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА на тему: Разработка политики информационной безопасности в Министерстве здравоохранения РФ Список сокращений ГУ - Государственные учреждения Иi - Источники угроз безопасности i-ой категории, по классификации ФСТЭК России ПДн - Персональные данные ИС - Информационная система ИСПДн - Информационная система персональных данных КЗ - Контролируемая зона КИ - Конфиденциальная информация ЛВС - Локальная вычислительная сеть НСД - Несанкционированный доступ к информации ОС - Операционная система ПДн - Персональные данные ПО - Программное обеспечение ППО - Прикладное программное обеспечение ПТС - Программно-технические средства ПЭМИН - Побочные электромагнитные излучения и наводки СВТ - Средства вычислительной техники СКЗИ - Средство криптографической защиты информации СУБД - Система управления базами данных ТС - Технические средства УБПДн - Угрозы безопасности персональных данных ФСБ России - Федеральная служба безопасности Российской Федерации ФСТЭК России - Федеральная служба по техническому и экспортному контролю ЦА - Центральный аппарат ЭП - Электронная подпись ВТМП - Высокотехнологичная медицинская помощь ИБ - Информационная безопасность ИС - Информационная система Нi - Тип нарушителя по классификации ФСБ России КОИ - Криптографически опасная информация Нi - Тип нарушителя по классификации ФСБ России НСД - Несанкционированный доступ к информации СФК - Среда функционирования СКЗИ Введение Общей целью защиты ПДн является предотвращение или снижение величины ущерба, наносимого субъекту ПДн или оператору ИСПДн вследствие реализации угроз безопасности ПДн. Данная цель должна быть достигнута путем доработки СЗИ ИАС ЦА МЗРФ до уровня показателей защищенности ИСПДн, предъявляемых к СЗПДн в виде определенной группы технических требований, устанавливаемых в зависимости от актуальных угроз безопасности и класса типовой ИСПДн и направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн. Частными целями защиты ПДн, обеспечивающими достижение общей цели по защите ПДн в ИСПДн ИАС ЦА МЗРФ, являются: предотвращение несанкционированного уничтожения, искажения, копирования, блокирования ПДн; обеспечение целостности и достоверности ПДн в системах обработки. При разработке политики ИБ ИАС МЗСР РФ использовались также следующие документы: 149-ФЗ Федеральный закон Российской Федерации от 27 июля 2006 г. № «Об информации, информационных технологиях и о защите информации» [9]; Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [5]; Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» [6]; «Отчет об обследовании информационно-аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации»[8]; «Модель угроз безопасности ПДн для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)» [13]. Глава 1 1.1 Структура ИАС ЦА МЗРФ ИАС ЦА МЗРФ многопользовательскую представляет гетерогенную собой иерархическую автоматизированную систему, состоящую из различных функциональных подсистем. В состав ИАС ЦА МЗРФ входят следующие системы обработки ПДн: ИС «Информационно-аналитическая система Минздравсоцразвития России» (далее - ИАС МЗСР РФ) включающая в себя: o подсистему мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета; o подсистему ведения счетов за оказанные услуги по талонам на оказание ВТМП на основании государственного задания; o подсистему ведения федерального регистра медицинского персонала; o подсистему мониторинга проведения диспансеризации детей-сирот и детей, находящихся в трудной жизненной ситуации; o подсистему мониторинга санаторно-курортного лечения; o подсистему мониторинга оказания специализированной помощи; o подсистему ведения федерального регистра больных социально значимыми заболеваниями; Единая информационная система государственной гражданской службы Минздравсоцразвития России (далее ЕИС ГС МЗСР РФ) включающая в себя: o ИС «Программный комплекс по формированию, размещению и исполнению государственного заказа на профессиональную переподготовку, повышение квалификации и стажировку федеральных государственных гражданских служащих» (далее - ППГС); ИС o «Система мониторинга предоставления государственным гражданским служащим единовременной субсидии на приобретение жилого помещения (далее - ИС ЖС); АИС «Учет кадров»; ИС «Удостоверяющий центр электронной цифровой подписи автоматизированных информационных систем единого информационного пространства Министерства здравоохранения и социального развития Российской Федерации» (далее - АС «АС-К»); ИС «Учет и контроль исполнения документов»; АИС «1С Зарплата и Кадры»; АС «ИНВИТА»; ПИК МЗРФ. Для формирования более полного представления о ИАС ЦА МЗРФ рассмотрим каждую функциональную подсистему в отдельности. 1.1.1 ИС «Информационно-аналитическая система Министерства здравоохранения России» ИАС МЗРФ представляет собой локальную вычислительную сеть, подключенную к сетям международного информационного обмена. В состав ЛВС входят сервера баз данных, а так же вэб-сервера, посредством которых пользователи получают доступ к ИАС МЗСР РФ. .1.2 Задачи и функции ИАС ЦА МЗРФ Целью создания ИАС МЗСР РФ являются: сбор, обработка и анализ данных в сфере информационных здравоохранения технологий с обработки использованием и анализа современных данных с целью осуществления информационно-аналитической поддержки принятия решений. Назначение данной системы - автоматизация процессов сбора, обработки и анализа данных в сфере здравоохранения. Область применения: информационного создание хранилища единого показателей централизованного мониторинга сферы здравоохранения. Основными функциями ИАС МЗСР РФ являются: хранение, ввод и логический контроль информации о состоянии здравоохранения и социального развития; визуальное представление показателей здравоохранения и социального развития; формирование регламентной и нерегламентной отчетности о процессах развития здравоохранения и социальной сферы; информационно-аналитическая поддержка процессов мониторинга ключевых показателей в сфере здравоохранения и социального развития Российской Федерации и ее субъектов; информационно-аналитическая обработки и хранения информации поддержка федерального процессов регистра сбора, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации органов и (или) тканей; информационно-аналитическая поддержка процессов мониторинга субсидий из федерального бюджета на софинансирование объектов капитального строительства в субъектах Российской Федерации; информационно-аналитическая поддержка процессов мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра медицинского персонала; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра стационарного больного с острым нарушением мозгового кровообращения; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации по индикаторам ФЦП и финансовым показателям софинансирования ФЦП за счет средств бюджетов субъектов Российской Федерации; хранение, обработка и передача персональных данных; администрирование прав пользователей системы; обеспечение информационной безопасности. .1.3 Описание технологического процесса обработки ПДн В ИАС ЦА МЗРФ обрабатываются персональные данные субъектов, обращающихся за медицинской помощью в медицинские учреждения различных уровней, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, в том числе информацию о состоянии здоровья, а также данные работников сферы здравоохранения, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию. Пользователи на рабочих местах, находящихся в медицинских учреждениях различных уровней, осуществляют ручной ввод/чтение данных посредством веб-интерфейса, доступ к которому они осуществляют по технологии «тонкого» клиента. Данные передаются по общедоступным каналам связи (сети Internet) на сервера баз данных, находящихся в ЦА МЗРФ. Защита данных при передаче обеспечивается криптографическими преобразованиями в рамках протокола SSL на базе алгоритма ГОСТ 28147-89.Для идентификации и аутентификации на веб-сервере пользователи используют сертификаты и закрытые ключи выданные им в УЦ Минздравсоцразвития. Информация хранится на серверах в базах данных. Срок хранения данных не определен. В рамках своих полномочий, пользователи имеют права на чтение/изменение/ удаление данных, размещенных в федеральной базе. Разграничение доступа пользователей к базе осуществляется на уровне СУБД. ПДн, обрабатываемые в ИАС ЦА МЗРФ используются внутри МЗРФ и подчиненных ему организаций и не передаются третьим лицам (организациям). .1.4 Перечень обрабатываемых ПДн В модулях ИАС ЦА МЗРФ обрабатываются персональные данные двух групп субъектов ПДн: данные медицинских работников и данные граждан, обращающихся за медицинской помощью в медицинские учреждения различных уровней. В состав обрабатываемых в ИАС ЦА МЗРФ данных входят: фамилия, имя, отчество; дата рождения; место рождения; место регистрации; информация о гражданстве; серия и номер паспорта; кем и когда выдан паспорт; ИНН; номер карточки пенсионного страхования; сведения о полисе обязательного медицинского страхования; информация о семейном положении; информация об образовании (когда, какое учебное заведение окончил); информация о трудовой деятельности; информация о состоянии здоровья. .1.5 Пользователи допущенные к обработке ПДн К обработке ПДн в ИАС ЦА МЗРФдопущены: работники медицинских учреждений, различных уровней, в рамках своих должностных обязанностей; сотрудники Департамента развития фармацевтического рынка и рынка медицинской техники МЗРФ; сотрудники Департамента высокотехнологичной медицинской помощи МЗРФ; сотрудники Департамента образования и развития кадровых ресурсов МЗРФ; сотрудники Департамента организации медицинской профилактики, медицинской помощи и развития здравоохранения МЗРФ; сотрудники Департамента развития медицинской помощи детям и службы родовспоможения МЗРФ; сотрудники Департамента охраны здоровья и санитарно-эпидемиологического благополучия человека МЗРФ. Полный перечень сотрудников представлен в Приложении 1. Характеристики ИСПДн В ходе проведения аналитического обследования ИАС ЦА МЗРФ специалистами Исполнителя совместно со специалистами Заказчика было установлено: в ИАС ЦА МЗРФ обрабатываются персональные данные (Данные, указанные в пункте 6.2.1.3, согласно п.1 ст.3 п.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» являются персональными данными и подлежат защите), следовательно ИАС ЦА МЗРФ является ИСПДн; в ИСПДн обрабатываются персональные данные, которые помимо идентификации субъекта ПДн, позволяют получить о нем дополнительную информацию, в том числе данные о состоянии здоровья. Согласно Совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» такие ПДн относятся к 1-й категории ПДн; в ИАС ЦА МЗРФ одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных; по структуре ИСПДн является распределенной с использованием технологии удаленного доступа; по наличию подключений к сетям информационного международного обмена, ИСПДн относится к категории систем, имеющих подключения. по режиму обработки информации (ПДн), ИСПДн относится к категории многопользовательских. по разграничению прав доступа в системе, ИАС ЦА МЗРФ относится к системам с разграничением прав доступа. в ИСПДн осуществляется автоматизированная обработка ПДн. ИСПДн является специальной (дополнительно требуется обеспечение целостности и доступности ПДн). .2 Перечень подсистем, их назначение и основные характеристики В соответствии с «Моделью угроз безопасности ПДн для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)», «Положением о методах и способах защиты информации в информационных системах персональных данных», а также «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации» мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн реализуются в рамках следующих подсистем СЗПДн ИАС ЦА МЗРФ: управления доступом; регистрации и учета; обеспечения целостности; антивирусной защиты; криптографической защиты. Также, в соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» должны проводиться мероприятия по: обнаружению вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных; анализу защищенности информационных систем, предполагающему применение специализированных программных средств; обеспечению безопасного межсетевого взаимодействия ИСПДн. .2.1 Подсистема управления доступом, её назначение и основные характеристики Согласно «Положению о методах и способах защиты информации в информационных системах персональных данных» подсистема управления доступом в СЗПДн предназначена для выполнения функций защиты самостоятельно или в комплексе с другими СрЗИ, направленных на исключение или затруднение несанкционированного доступа к ИСПДн. Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований. Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн. 1.2.2 Подсистема регистрации и учета, её назначение и основные характеристики Подсистема регистрации и учета предназначена для фиксирования событий, происходящих в ИСПДн. Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований, заданных в таблице 1. Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн. 1.2.3 Подсистема обеспечения целостности, её назначение и основные характеристики Подсистема обеспечения целостности предназначена для осуществления контроля целостности программных средств системы защиты ПДн и неизменности программной среды. Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований. Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн. .2.4 Требования к обеспечению безопасного межсетевого взаимодействия, назначению и основным характеристикам Обеспечение безопасного межсетевого взаимодействия осуществляется путем применения МЭ, предназначенных для разграничения доступа, получаемого к ресурсам ИСПДн по каналам связи. Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований. Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн. Глава 2 .1 Модель нарушителя В соответствии с п. 2 Положения [6] безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Характеристики ИСПДн ИАС ЦА МЗРФ, защищаемые ресурсы ИСПДн ИАС ЦА МЗРФ, угрозы утечки ПДн по техническим каналам, угрозы НСД к информации ИСПДн ИАС ЦА МЗРФ рассмотрены в «Модели угроз безопасности персональных данных при их обработке в «Информационно-аналитической системе Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации»[13]. Основываясь на полученных данных с учетом методических рекомендаций ФСБ России [3], Положения ПКЗ-2005 [11] и Типовых требований [12] необходимо уточнить возможности нарушителей при обеспечении с помощью криптосредств безопасности ПДн при их обработке в ИСПДн ИАС ЦА МЗРФ. Нарушитель может действовать на различных этапах жизненного цикла информационных ресурсов, средств защиты информации, криптосредств (СКЗИ) и СФК, используемых в ИСПДн. Под этими этапами в настоящем документе понимаются этапы разработки указанных средств, их производства, хранения, транспортировки, ввода в эксплуатацию, эксплуатации. 2.2 Этапы разработки, производства, хранения, транспортировки и ввода в эксплуатацию технических и программных СКЗИ и СФК На этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию используемых в ИСПДн ИАС ЦА МЗРФ технических и программных СКЗИ и СФК, обработка персональных данных не производится. Поэтому объектами угроз и атак на этих этапах являются только сами эти средства и документация на них. Обеспечение безопасности указанных объектов достигается путем использования организационно - технических мер защиты и проведением обязательных проверок во время ввода в эксплуатацию криптосредств и СФК на соответствие эталонным образцам и заданным алгоритмам функционирования. Средства криптографической защиты (криптосредства), используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, должны в установленном порядке получить подтверждение соответствия требованиям ФСБ России 2.3 Этап эксплуатации технических и программных СКЗИ и СФК На данном этапе защита от угроз безопасности, не являющихся атаками, как правило, регламентируется различного рода инструкциями и положениями (разработанными с учетом особенностей эксплуатации ИС и действующей нормативной базы), в которых описываются регламенты действий должностных лиц, допущенных к работе с ИСПДн. При этом возникновение угроз в большинстве случаев связано с ошибочными действиями или нарушениями тех или иных требований указанными лицами. Возможными объектами атак в ИСПДн являются следующие объекты: документация на криптосредство и на аппаратные и программные компоненты криптосредства и СФК; защищаемые персональные данные; ключевая, аутентифицирующая и парольная информация криптосредства и СФК; криптографически опасная информация (КОИ); средства защиты информации (программные и аппаратные компоненты средств защиты информации); криптосредство (программные и аппаратные компоненты криптосредства); аппаратные и программные компоненты СФК; настроечные и конфигурационные параметры криптосредства и СФК; данные, передаваемые по каналам связи; помещения, в которых находятся защищаемые ресурсы информационной системы. При передаче ПДн по каналам связи они должны быть защищены с использованием криптосредств или для их передачи должны использоваться защищенные каналы связи. Должна осуществляться защита информации, записываемой на отчуждаемые носители (магнитные, магнито-оптические, оптические, карты флэш-памяти и т.п.). 2.4 Описание нарушителей (субъектов атак) Под нарушителем (субъектом атак) ИСПДн понимается лицо (или инициируемый им процесс), проводящее (проводящий) атаку. В случае передачи данных из(в) сторонней(ую) организации(ю) только с использованием бумажных носителей, сотрудники этой организации не могут воздействовать на технические и программные средства ИСПДн ИАС ЦА МЗРФ и поэтому в настоящем документе не могут рассматриваться в качестве потенциальных нарушителей. Все остальные физические лица, имеющие доступ к техническим и программным средствам ИСПДн ИАС ЦА МЗРФ, могут быть отнесены к следующим категориям: категория I - лица, не имеющие права доступа в КЗ и осуществляющие доступ к ресурсам ИСПДн ИАС ЦА МЗРФ из-за пределов КЗ; категория II - лица, имеющие право постоянного или разового доступа в КЗ ИСПДн ИАС ЦА МЗРФ. К контролируемой зоне (КЗ) относятся все объекты и помещения, в которых размещаются части ИСПДн: – помещения, в которых располагаются СВТ ИСПДн (серверы БД, серверы приложений и пр.) и проходят линии связи; – помещения подразделений, в которых располагаются СВТ ИСПДн (АРМ пользователей, сетевое оборудование). Все помещения, где располагаются серверы БД и приложений, сетевое оборудование, АРМ пользователей) оборудованы системой контроля доступа, системами охранной и пожарной сигнализации, системой кондиционирования воздуха, а также системой бесперебойного питания. Таким образом, несанкционированное присутствие посторонних лиц в данных помещениях и доступ их к СВТ исключается. В соответствии с «Методическими рекомендациями...» [3] все потенциальные нарушители подразделяются на два типа: внешние нарушители - нарушители, осуществляющие атаки из-за пределов контролируемой зоны ИСПДн; внутренние нарушители - нарушители, осуществляющие атаки, находясь в пределах контролируемой зоны ИСПДн. Предполагается, что: внешними нарушителями могут быть как лица категории I, так и лица категории II; внутренними нарушителями могут быть только лица категории II. Возможности потенциальных нарушителей ИСПДн ИАС ЦА МЗРФ существенно зависят от реализованной в ИАС ЦА МЗРФ политики безопасности и принятыми режимными, организационно-техническими и техническими мерами по обеспечению безопасности. Внешний нарушитель не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн. Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Внутренними нарушителями могут быть следующие лица: – лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн; – санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн; – зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе; – зарегистрированные пользователи ИСПДн администратора безопасности сегмента (фрагмента) ИСПДн; с полномочиями – зарегистрированные пользователи ИСПДн с полномочиями пользователи ИСПДн с полномочиями системного администратора; – зарегистрированные администратора (поставщики) безопасности прикладного ИСПДн; программного программисты-разработчики обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн; разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. Санкционированные пользователи ИСПДн осуществляют ограниченный доступ к ресурсам ИСПДн со своего рабочего места. Порядок предоставления ограниченного доступа определяется правилами (регламентами) доступа к защищаемой информации. Данная категория лиц рассматривается в качестве потенциальных нарушителей. Удаленные зарегистрированные пользователи ИСПДн осуществляют ограниченный (в соответствии с заданной ролью) доступ к ресурсам ИСПДн по технологии удаленного доступа, и могут рассматриваться в качестве потенциальных нарушителей. Зарегистрированные администратора пользователи безопасности ИСПДн сегмента с полномочиями (фрагмента) ИСПДн. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются. Зарегистрированные пользователи ИСПДн с полномочиями системного администратора ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются. Зарегистрированные администратора пользователи безопасности ИСПДн ИСПДн являются с полномочиями привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются. Программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. Порядок доступа к техническим средствам и информационным ресурсам ИСПДн лицами данной категории регламентируется внутренними нормативными документами по обеспечению безопасности функционирования информационной системы и ПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей. Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. Порядок доступа к техническим средствам ИСПДн лицами нормативными данной документами категории по регламентируется обеспечению технических внутренними средств и информационных ресурсов ИСПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей. 2.4 Предположения об имеющейся у нарушителя информации об объектах атак Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ: не располагает всей технической документацией на аппаратные и программные компоненты СФК; не располагает всей технической документацией на криптосредство, включая исходные тексты ПО, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами; не располагает всеми данными об организации работы, линиях связи, структуре и используемом оборудовании ИСПДн в объеме, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами; располагает всеми возможными данными, передаваемыми в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами; располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК; располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностями и сбоями технических средств криптосредства и СФК; располагает сведениями, получаемыми в результате анализа сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель. Таблица 1 - Ограничения на имеющуюся у нарушителя информацию об объектах № п/п 1 Информация Ограничение и обоснование Содержание технической документации на технические и программные компоненты СФК. Доступна только информация, находящаяся в свободном доступе. Обоснование: в ИСПДн ограничен доступ к такой информации (она 2 Долговременные ключи криптосредства. 3 Все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.) Сведения о линиях связи, по которым передается защищаемая информация: линии связи, проходящие в КЗ линии связи, проходящие за пределами КЗ. 4 5 Все сети связи, работающие на едином ключе. 6 Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК. Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК. Сведения, получаемые в результате анализа любых побочных сигналов от технических средств криптосредства. Исходные тексты прикладного программного обеспечения ИС. 7 8 9 доступна только привилегированным пользователям). Сведения недоступны. Обоснование: криптосредства не используют долговременные ключи. Доступны в каналах связи незащищенных о НСД к информации. Потенциальному нарушителю могут быть доступны следующие сведения о линиях связи проходящих в КЗ и за ее пределами: общая информация об архитектуре ЛВС; информация о типах используемого оборудования и кабелей. Более детальная информация о линиях связи нарушителю недоступна. Обоснование: в ИСПДн ограничен доступ к такой информации (она доступна только привилегированным пользователям). Сведения недоступны. Обоснование: архитектура подсистемы криптографической защиты исключает такую возможность. Для шифрования отдельных информационных потоков используются индивидуальные ключи. Доступны в каналах связи, незащищенных от НСД к информации. Доступны в каналах связи, незащищенных от НСД к информации. Могут быть доступны. Недоступны. Обоснование: в ИСПДн используется проприетарное ППО с закрытым исходным кодом. 2.5 Предположения об имеющихся у нарушителя средствах атак Состав и характеристики имеющихся у нарушителя средствах атак существенно зависят как от имеющихся у него возможностей по приобретению или разработке указанных средств, так и от реализованной в ИСПДн ИАС ЦА МЗРФ политики безопасности. Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ: может использовать штатные средства в случае их расположения как вне, так и в пределах контролируемой зоны; располагает только доступными в свободной продаже аппаратными компонентами криптосредств и СФК и за счет реализованных в ИСПД организационных мер не имеет дополнительных возможностей по их получению; способов не может организовывать или заказывать работы по созданию и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК; может самостоятельно и в одиночку осуществлять освоение способов, подготовку и проведение атак (т.е. отсутствует сговор нарушителей); не может проводить лабораторные исследования криптосредств. .6 Описание каналов атак Основными каналами атак потенциальных нарушителей ИСПДн являются: акустический канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах только в случае ведения разговоров специалистами ИСПДн (как внутри, так и вне КЗ) на данную тематику; визуальный канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах путем просматривания документированной и отображаемой на технических средствах информации; физический доступ к документации и в помещения, в которых расположены используемые для защиты ПДн криптосредства и СФК; штатные средства обработки информации; машинные носители информации (как используемые, так и выведенные из употребления, но не уничтоженные); технические каналы утечки информации по побочному электромагнитному излучению и наводкам; каналы связи, не защищенные от НСД к информации организационно-техническими мерами: . каналы связи, расположенные внутри КЗ, могут стать объектом атак внутреннего нарушителя; . каналы связи сети Интернет располагаются за пределами КЗ и могут стать объектом атак внешнего нарушителя; . выделенный канал связи между сегментами сети Минздравсоцразвития, расположенными по адресам ул. Ильинка д. 21 и Рахмановский пер. д.3/25, выходит за пределы КЗ и может стать объектом атак внешнего нарушителя. .7 Определение типа нарушителя ИСПДн ИАС ЦА МЗРФ информационный криптографический защита несанкционированный Внешний нарушитель не имеет доступа к техническим и программным средствам ИСПДн, находящимся в КЗ, и самостоятельно осуществляет создание методов и средств реализации атак, а также самостоятельно выполняет эти атаки. Внутренний нарушитель, не являющийся пользователем ИСПДн, имеет право периодического или разового доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение. Внутренний нарушитель, являющийся пользователем ИСПДн, имеет право доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение. В результате рассмотренных предположений о доступных каналах и способах получения информации нарушителем, которые он может использовать для разработки и проведения атак и в соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» предполагаем, что возможности внутреннего нарушителя соответствуют возможностям нарушителя типа Н3. Однако, необходимо сделать вывод, что благодаря комплексу организационно-технических мероприятий: наличие физической охраны; наличие СКУД в помещениях серверных; наличие комплексной системы управления и мониторинга сетевых инфраструктур, а также системы управления политиками сетевой безопасности на базе комплекса Juniper, а также других мероприятий описанных в п. 3; возможности внутреннего нарушителя существенно ограничиваются и не превышают возможностей нарушителя типа Н1. Учитывая, что в качестве внешнего нарушителя может действовать бывший сотрудник Министерства, обладающий сведениями о структуре и других характеристиках сети, а также характера информации, передаваемой по каналам связи, предполагается, что возможности внешнего нарушителя аналогичны соответствующим возможностям нарушителя типа Н3 (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне). 2.8 Уровень криптографической защиты ПДн в ИСПДн В соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» уровень криптографической защиты персональных данных, обеспечиваемый криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу. Для защиты от внутреннего нарушителя типа Н1, внутри контролируемой зоны требуется применение СКЗИ, соответствующих требованиям ФСБ России по классу не ниже КС1. Для защиты контролируемой от внешнего нарушителя типа зоны требуется применение СКЗИ Н 3, на границах соответствующих требованиям ФСБ России по классу не ниже КС3. При обработке ПДн в ИСПДн возможно возникновение угроз безопасности персональных данных (УБПДн) за счет реализации следующих каналов утечки информации: угрозы утечки акустической (речевой) информации; угрозы утечки видовой (визуальной) информации; угрозы утечки информации по каналам ПЭМИН [2]. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн. В ИАС ЦА МЗРФ данный канал является неактуальным, поскольку в ИСПДн функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами отсутствуют. Источником угроз утечки видовой (визуальной) информации являются физические лица, не имеющие санкционированного доступа к информации ИСПДн, а также технические средства просмотра, внедренные в служебные помещения или скрытно используемые данными физическими лицами. Угрозы утечки видовой (визуальной) информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн. Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между указанными физическими лицами или средствами наблюдения и техническими средствами ИСПДн, на которых визуально отображаются ПДн. Перехват ПДн в ИСПДн может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них с помощью портативной носимой аппаратурой (портативные фото и видеокамеры и т.п.), возимой или стационарной аппаратурой, а также путем непосредственного личного наблюдения в служебных помещениях или при помощи технических средств просмотра, скрытно внедренных в служебные помещения. Данный канал является актуальным для ИАС ЦА МЗРФ, поскольку за счет его реализации возможно возникновение угроз безопасности персональных данных. Источником угроз утечки информации по каналам ПЭМИН являются физические лица, не имеющие доступа к ИСПДн. Возникновение угрозы утечки ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн. Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы КЗ в зависимости от мощности излучений и размеров ИСПДн. Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн, путем использования аппаратуры в составе радиоприемных устройств, предназначенной для восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДн («аппаратурные закладки»). Учитывая техническую сложность регистрации ПЭМИН, затраты, связанные с перехватом и выделением информативных сигналов, существенно превосходят затраты, связанные с получением ПДн иными способами. По этой причине предполагается, что утечка информации по каналампобочных электромагнитных излучения и наводок невозможна. Для ИАС ЦА МЗРФ рассматриваются следующие типы угроз НСД с применением программных и программно-аппаратных средств, которые реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности распространение), (несанкционированное целостности копирование (несанкционированное и (или) уничтожение или изменение) и доступности (несанкционированное блокирование) ПДн: угрозы несанкционированного доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения); угрозы перехвата информации, передаваемой по каналам связи; угрозы создания (программно-аппаратных нештатных средств) за режимов счет работы программных преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.; угрозы внедрения вредоносных программ (программно-математического воздействия). Кроме того, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа. Источниками угроз НСД в ИСПДн могут быть: нарушитель; носитель вредоносной программы; аппаратная закладка [2]. По наличию права постоянного или разового доступа в контролируемые зоны (КЗ) нарушители ИСПДн подразделяются на два типа: внешние нарушители - нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из-за пределов КЗ; внутренние нарушители - нарушители, имеющие доступ в КЗ к ИСПДн, включая пользователей ИСПДн. Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ. Внешний нарушитель (далее для удобства обозначения И0) не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн. Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Внутренние потенциальные нарушители в ИСПДн по классификации ФСТЭК России [2] подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн. К первой категории (далее И1) относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн - обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИСПДн, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИСПДн. Ко второй категории внутренних потенциальных нарушителей (далее И2) относятся зарегистрированные ограниченный доступ к пользователи ресурсам ИСПДн ИСПДн, с осуществляющие рабочего места - санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ. К третьей категории внутренних потенциальных нарушителей (далее И3) относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ, осуществляющие удаленный доступ к ПДн. К четвертой категории внутренних потенциальных нарушителей (далее И4) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора Зарегистрированные безопасности сегмента пользователи ИАС ЦА (фрагмента) МЗРФ с ИСПДн. полномочиями администратора безопасности сегмента (фрагмента) ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителичетвертой категории в ИАС ЦА МЗРФ отсутствуют. К пятой категории внутренних потенциальных нарушителей (далее И5) относятся зарегистрированные пользователи ИСПДн с полномочиями системного администратора. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями системного администратора ИСПДн являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителипятой категории в ИАС ЦА МЗРФ отсутствуют. К шестой категории внутренних потенциальных нарушителей (далее И6) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями администратора безопасности ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителишестой категории в ИАС ЦА МЗРФ отсутствуют. К седьмой категории внутренних потенциальных нарушителей (далее И7) относятся программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. К внутренним потенциальным нарушителям седьмой категории в ИАС ЦА МЗРФ можно отнести программистов-разработчиков, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону. К восьмой категории внутренних потенциальных нарушителей (далее И8) относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. К внутренним потенциальным нарушителям восьмой категории в ИАС ЦА МЗРФ можно отнести сотрудников, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону, а также сотрудников сторонних организаций, осуществляющих сопровождение технических средств ИАС ЦА МЗРФ.На основании изложенного, в качестве источников угроз НСД в ИАС ЦА МЗРФ необходимо рассматривать следующих нарушителей: внешнего нарушителя И0; внутреннего нарушителя И1, имеющего санкционированный доступ к ИАС ЦА МЗРФ, но не имеющего доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИАС ЦА МЗРФ - обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИАС ЦА МЗРФ, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИАС ЦА МЗРФ; внутреннего нарушителя И2, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн с рабочего места - санкционированный пользователь ИСПДн, который занимается обработкой ПДн; внутреннего нарушителя И3, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн по технологии удаленного доступа - санкционированный пользователь ИСПДн, который занимается обработкой ПДн. внутреннего нарушителя программистом-разработчиком (поставщиком) И7, ППО являющегося или лицом, обеспечивающим сопровождение ППО в ИАС ЦА МЗРФ; внутреннего нарушителя И8, являющегося разработчиком или лицом, обеспечивающим поставку, сопровождение и ремонт технических средств в ИАС ЦА МЗРФ. Указанные категории нарушителей должны учитываться при оценке возможностей реализации источников угроз НСД в ИАС ЦА МЗРФ. Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются: отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.; встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти шин передачи данных, портов ввода-вывода); микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.). Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются: пакеты передаваемых по компьютерной сети сообщений; файлы (текстовые, графические, исполняемые и т.д.). Аппаратные закладки могут быть конструктивно встроенными и автономными. Конструктивно встроенные аппаратные закладки создаются в ходе проектирования и разработки аппаратного обеспечения, применяемого в ИСПДн и могут проявляться в виде недекларированных возможностей различных элементов вычислительной системы. Автономные аппаратные закладки являются законченными устройствами, выполняющими определенные деструктивные функции: перехват, накопление, ввод/вывод информации и т.д. Учитывая, что аппаратные закладки представляют собой некоторый элемент технических средств (ТС), скрытно внедряемый или подключаемый к ИС и обеспечивающий при определенных условиях реализацию несанкционированного доступа или непосредственное выполнение некоторых деструктивных действий, в них, как правило, содержатся микрокоманды, обеспечивающие взаимодействие закладки с программно-техническими средствами ИС. Аппаратные закладки могут реализовать угрозы: сбора и накопления ПДн, обрабатываемых и хранимых в ИСПДн; формирования технических каналов утечки (акустический, оптический, побочных электромагнитных излучений и наводок - ПЭМИН) с возможной обработкой информации, в том числе и стеганографическими методами, и передачей ее за пределы КЗ (на внешних машинных носителях информации). В силу отмеченных свойств аппаратных закладок эффективная защита от них может быть обеспечена за счет учета их специфики и соответствующей организации технической защиты информации на всех стадиях (этапах) жизненного цикла ИСПДн. В разделе 2 проведен анализ характеристик ИСПДн ИАС ЦА МЗР. Из проведенного анализа следует, что в соответствии с требованиями п.8, п.16 «Порядка проведения классификации информационных систем персональных данных» [9] даннаяИСПДн является распределенной ИСПДн, имеющей подключения к сетям связи общего пользования. В ИАС ЦА МЗР возможна реализация следующихУБПДн: угрозы утечки информации по техническим каналам (п.4 настоящей модели); угрозы НСД к ПДн, обрабатываемых в распределенных сетях. Угрозы НСД для ИСПДн ИАС ЦА МЗР связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель), а также нарушителей, не имеющих доступа к ИСПДн и реализующих угрозы из внешних сетей связи общего пользования (внешний нарушитель). Учитывая состав применяемых средств защиты, категории персональных данных, категории вероятных нарушителей и рекомендации «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», необходимо рассмотреть следующие угрозы безопасности для ИСПДн ИАС ЦА МЗР: угрозы, реализуемые в ходе загрузки операционной системы; угрозы, реализуемые после загрузки операционной системы; угрозы внедрения вредоносных программ; угроза «Анализ сетевого трафика» с перехватом передаваемой по сети информации; угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.; угроза выявления паролей; угроза получения НСД путем подмены доверенного объекта сети; угроза типа «Отказ в обслуживании»; угроза удаленного запуска приложений; угроза внедрения по сети вредоносных программ; угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях; угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях; угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа. Под уровнем исходной защищенности понимается обобщенный показатель Y1, зависящий от технических и эксплуатационных характеристик ИСПДн [1]. В соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [1] для нахождения уровня исходной защищенности ИСПДн, т.е. значения числового коэффициента Y1, необходимо определить показатели исходной защищенности, которые представлены в Таблице 2. Таблица 2 № 1 2 3 4 5 Технические и эксплуатационные характеристики ИСПДн По территориальному размещению По наличию соединения с сетями общего пользования По встроенным (легальным) операциям с записями баз ПДн По разграничению доступа к ПДн По наличию соединений с другими базами ПДн иных ИСПДн Тип ИСПДн Уровень защищенности Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом ИСПДн, имеющая одноточечный выход в сеть общего пользования модификация, передача низкий ИСПДн, к которой имеет доступ определенный перечень сотрудников ИАС ЦА МЗР интегрированная ИСПДн (ИАС ЦА МЗР использует несколько баз ПДнИСПДн, при этом не являясь владельцем всех используемых баз средний средний низкий низкий 6 По уровню обобщения (обезличивания) ПДн 7 По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки ПДн) ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными, т.е. присутствует информация, позволяющая идентифицировать субъект ПДн ИСПДн, предоставляющая часть ПДн низкий средний Из анализа результатов исходной защищенности (Таблица 2) следует, что менее 70% характеристик ИСПДн ИАС ЦА МЗРФ соответствуют уровню не ниже «средний». Следовательно, в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» [1] ИСПДн ИАС ЦА МЗР имеет низкий уровень исходной защищенности и числовой коэффициент Y1= 10. Определение вероятности реализации угроз в ИСПДнИАС ЦА МЗР Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки. Числовой коэффициент (Y2) для оценки вероятности возникновения угрозы определяется по четырем вербальным градациям этого показателя: маловероятно - отсутствуют объективные предпосылки для осуществления угрозы (Y2 = 0); низкая вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (Y2 = 2); средняя вероятность - объектные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны (Y2 = 5); высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты (Y2 = 10). Оценка вероятности реализации угроз безопасности для ИСПДн ИАС ЦА МЗР выявленными категориями потенциальных нарушителей И0, И1,И2,И3, И7, И8 приведена в таблице 2. Таблица 2 Угроза безопасности ПДн Угрозы, реализуемые в ходе загрузки операционной системы Угрозы, реализуемые после загрузки операционной системы Угрозы внедрения вредоносных программ Угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации Угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. Угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях Угрозы выявления паролей Угрозы получения НСД путем подмены доверенного объекта сети Угрозы типа «Отказ в обслуживании» Угрозы удаленного запуска приложений Угрозы внедрения по сети вредоносных программ Угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях Угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа Вероятность реализации угрозы (Y2)Иiисточником угрозы нарушителем категории Иi (Y2)И0 (Y2)И1 (Y2)И2 (Y2)И3 (Y2)И7 (Y2)И8 Итог Y2= max(Y2)Иi 0 2 2 2 2 2 2 0 2 2 2 2 2 2 0 2 2 2 2 2 2 2 2 2 2 0 0 2 2 2 2 2 2 2 2 0 2 2 2 2 2 2 0 0 2 2 0 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2 2 5 2 2 2 2 2 5 5 2 2 2 2 2 5 2 2 2 2 2 2 2 2 2 2 2 2 2 2 Определение возможности реализации угроз в ИСПДнИАС ЦА МЗР По итогам оценки уровня исходной защищенности (Y1) и вероятности реализации угрозы (Y2) рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (Таблица 3). Коэффициент реализуемости угрозы рассчитывается по формуле: Y=(Y1+Y2)/20. По значению коэффициента реализуемости угрозы Y формулируется вербальная интерпретация реализуемости угрозы следующим образом: если 0Y0.3, то возможность угрозы признается низкой; если 0.3Y0.6, то возможность угрозы признается средней; если 0.6Y0.8, то возможность угрозы признается высокой; если Y>0.8, то возможность угрозы признается очень высокой. Таблица 3 Угроза безопасности ПДн угрозы, реализуемые в ходе загрузки операционной системы угрозы, реализуемые после загрузки операционной системы угрозы внедрения вредоносных программ угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях угрозы выявления паролей угрозы получения НСД путем подмены доверенного объекта сети угрозы типа «Отказ в обслуживании» угрозы удаленного запуска приложений угрозы внедрения по сети вредоносных Коэффициент реализуемости угрозы (Y) 0,6 Возможность реализации угрозы средняя 0,6 средняя 0,6 0,6 средняя средняя 0,6 средняя 0,6 средняя 0,6 0,6 средняя средняя 0,6 0,75 0,75 средняя высокая высокая программ угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа 0,6 средняя 0,6 средняя Оценка опасности угроз в ИСПДнИАС ЦА МЗР Оценка опасности угроз в ИСПДн производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет три значения: низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных. Оценка опасности угроз в ИСПДн ИАС ЦА МЗР приведена в таблице 4. Таблица 4 Угроза безопасности ПДн угрозы, реализуемые в ходе загрузки операционной системы угрозы, реализуемые после загрузки операционной системы угрозы внедрения вредоносных программ угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях угрозы выявления паролей угрозы получения НСД путем подмены доверенного объекта сети угрозы типа «Отказ в обслуживании» угрозы удаленного запуска приложений угрозы внедрения по сети вредоносных программ угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях Опасность угроз средняя средняя средняя средняя средняя низкая средняя низкая низкая средняя средняя средняя угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа средняя Правила отнесения угрозы безопасности к актуальной приведены в таблице 5 [1]. Таблица 5 Возможность реализации угрозы Низкая Средняя Высокая Очень высокая Показатель опасности угрозы Низкая Средняя неактуальная неактуальная неактуальная актуальная актуальная актуальная актуальная актуальная Высокая актуальная актуальная актуальная актуальная В соответствии с правилами отнесения угрозы безопасности к актуальной для ИСПДн ИАС ЦА МЗР определены угрозы, представленные в таблице 6. Таблица 6 Угроза безопасности ПДн угрозы, реализуемые в ходе загрузки операционной системы угрозы, реализуемые после загрузки операционной системы угрозы внедрения вредоносных программ угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др. угрозы внедрения ложного объекта как в ИСПДн, так и во внешних сетях угрозы выявления паролей угрозы получения НСД путем подмены доверенного объекта сети угрозы типа «Отказ в обслуживании» угрозы удаленного запуска приложений угрозы внедрения по сети вредоносных программ угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа Опасность угроз актуальная актуальная актуальная актуальная актуальная неактуальная актуальная неактуальная неактуальная актуальная актуальная актуальная актуальная Таким образом, актуальными угрозами безопасности ПДн в ИСПДн ИАС ЦА МЗР являются: угрозы, реализуемые в ходе загрузки операционной системы; угрозы, реализуемые после загрузки операционной системы; угрозы внедрения вредоносных программ; угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации; угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.; угрозы выявления паролей; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ; угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях; угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа. Администратором безопасности ИСПДн выполняются следующие мероприятия: результатов работы средств мониторинга ИБ, результаты проверок и аудита (внутреннего или внешнего); обращения пользователей ИСПДн; обращения субъектов персональных данных с указанием Инцидента запросы и предписания органов надзора за соблюдением прав ИБ; субъектов ПДн; другие источники информации. Администратор безопасности ИСПДн после получения информации о предполагаемом Инциденте ИБ незамедлительно проводит первоначальный анализ полученных данных. В процессе анализа проводится проверка наличия в выявленном факте нарушений; по усмотрению руководителя Департамента информатизации единичный Инцидент ИБ, не приведший к негативным последствиям и совершенный сотрудником Минздравсоцразвития впервые, фиксируется Администратором безопасностиИСПДн в карточке данных «Инциденты ИБ» (Приложение №1) с присвоением статуса «Разбирательство не требуется»; в случае разбирательство и нарушения реагирование прав субъекта происходит в персональных данных порядке сроки, предусмотренные внутренними регламентами Минздравсоцразвития. и в случае наличия признаков Инцидента ИБ в полученной информации, Администратор безопасности определяет предварительную степень важности Инцидента ИБ и принимает решение о необходимости проведения разбирательства, информатизации об информирует Инциденте ИБ, руководителя Департамента инициирует формирование регистрационной карточки инцидента с присвоением ему статуса «В процессе разбирательства». в срок не более 3 (трех) рабочих дней с момента поступления информации об Инциденте ИБ, Администратор безопасности, по согласованию с руководителем Департамента информатизации, определяет и инициирует первоочередные меры, направленные на локализацию инцидента и на минимизацию его последствий. Разбирательство Инцидента ИБ, состоит из следующих этапов: подтверждение/опровержение факта возникновения Инцидента ИБ; подтверждение/корректировка уровня значимости Инцидента ИБ; уточнение дополнительных обстоятельств (деталей) Инцидента ИБ; получение (сбор) доказательств возникновения Инцидента ИБ, обеспечение их сохранности и целостности; минимизация последствий Инцидента ИБ; информирование и консультирование персонала по действиям обнаружения, устранения последствий и предотвращения инцидентов ИБ; разработка мероприятий по обнаружению и/или предупреждению инцидентов ИБ. В процессе проведения разбирательства Инцидента ИБ обязательными для установления являются: дата и время совершения Инцидента ИБ; ФИО, должность и подразделение Нарушителя ИБ; уровень критичности Инцидента ИБ; обстоятельства и мотивы совершения Инцидента ИБ; информационные ресурсы, затронутые Инцидентом ИБ; характер и размер реального и потенциального ущерба; обстоятельства, способствовавшие совершению Инцидента ИБ. После получения необходимой информации по Инциденту ИБ Администратор безопасности проводит анализ полученных данных, В течение 5 (пяти) рабочих дней Администратор безопасности запрашивает у руководителя структурного подразделения объяснительную записку Нарушителя ИБ. Объяснительная записка должна быть составлена, подписана Нарушителем ИБ в течение (двух) рабочих дней и представлена его непосредственным руководителем осуществляющему разбирательство сотруднику в течение 3 (трех) рабочих дней с момента поступления запроса. В случае отказа Нарушителя Администратором ИБ безопасности предоставить предоставляется объяснительную акт, записку составленный в соответствии с установленным в Минздравсоцразвития России порядке. С целью минимизации последствий Инцидента ИБ возможно временное отключение прав доступа сотрудника к ресурсам ИСПДн, на время проведения расследования, предварительно сделав заявку. Подобное отключение инициируется с обязательным предварительным устным согласованием с руководителем сотрудника. Восстановление временно отключенных у Нарушителя ИБ прав доступа к ИСПДн (разблокировка пользователя) может производиться только по заявке руководителя Нарушителя Администратора безопасности. ИБ или осуществляющего разбирательство Заключение На основании вышеизложенного можно сделать следующие выводы относительно характеристик ИСПДн ИАС ЦА МЗР. . ИСПДн ИАС ЦА МЗР является распределенной многопользовательской специальной ИС с разграничением прав доступа пользователей, имеющей подключения к сетям связи общего пользования. . В рамках проведения классификации и в соответствии с «Порядком проведения классификации информационных систем персональных данных» [9], утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20, определены следующие характеристики ИСПДн входящих в качестве подсистем в ИСПДн ИАС ЦА МЗР: ИСПДн ИС «Информационно-аналитическая система Минздравсоцразвития России» - специальная ИСПДн класса К1; ИСПДн ИС «Единая информационная система государственной гражданской службы Минздравсоцразвития России» - специальная ИСПДн класса К2; ИСПДн «АИС «Учет кадров» - специальная ИСПДн класса К2; ИСПДн ИС «Удостоверяющий центр электронной цифровой подписи автоматизированных информационных систем единого информационного пространства Министерства здравоохранения и социального развития Российской Федерации» - специальная ИСПДн класса К2; ИСПДн ИС «Учет и контроль исполнения документов» - специальная ИСПДн класса К2; К2; ИСПДн АИС «1С Зарплата и Кадры» - специальная ИСПДн класса ИСПДн АС «ИНВИТА» - специальная ИСПДн класса К2. Согласно п.17 «Порядка проведения классификации информационных систем персональных информационной данных» системы [9], подсистем, в случае каждая выделения из которых в составе является информационной системой, информационной системе в целом присваивается класс, соответствующий наиболее высокому классу входящих в нее подсистем. В соответствии с этими требованиями данная специальная ИСПДн ИАС ЦА МЗР соответствует классу К1- информационная система, для которой нарушение заданной характеристики безопасности персональных данных, обрабатываемых в ней, может привести к значительным негативным последствиям для субъектов персональных данных. . В соответствии с уровнем исходной защищенности ИСПДн ИАС ЦА МЗР, условиями функционирования и технологиями обработки и хранения информации угрозы утечки по техническим каналам, включающие в себя угрозы утечки акустической (речевой) информации, угрозы утечки видовой информации и угрозы утечки по каналу ПЭМИН являются неактуальными. . Актуальные угрозы безопасности ПДн, установленные в ходе изучения ИСПДн ИАС ЦА МЗР, представляют собой условия и факторы, создающие реальную опасность несанкционированного доступа к ПДн с целью нарушения их конфиденциальности, целостности и доступности. К таким угрозам относятся: угрозы, реализуемые в ходе загрузки операционной системы; угрозы, реализуемые после загрузки операционной системы; угрозы внедрения вредоносных программ; угрозы «Анализ сетевого трафика» с перехватом передаваемой по сети информации; угрозы сканирования, направленные на выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.; угрозы выявления паролей; угрозы удаленного запуска приложений; угрозы внедрения по сети вредоносных программ; угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных как внутри сети, так и во внешних сетях; угрозы, реализуемые за счет уязвимостей сетевых протоколов при осуществлении терминального доступа. . Угрозы, связанные: с внедрением вредоносных программ (включая их внедрение по со сканированием, направленным на выявление открытых портов и сети), служб, открытых соединений, с внедрением ложного объекта сети, с удаленным запуском приложений, нейтрализуются установленными в ИСПДн ИАС ЦА МЗР средствами антивирусной защиты, средствами защиты от несанкционированного экранирования, а доступа, также в том числе организационными средствами мерами, межсетевого обеспечивающими безопасное функционирование ИСПДн ИАС ЦА МЗР в штатном режиме. Однако, тот факт, что перечисленные средства защиты не проходили процедуру оценки соответствия не позволяет сделать вывод о неактуальности данных угроз. Источники, использованные при разработке 1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 года. . «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». Утверждена Заместителем директора ФСТЭК России 15 февраля 2008 года. . «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации». Утверждена руководством 8 Центра ФСБ России 21 февраля 2008 года, № 149/54-144. . Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». . Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных». . Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». . «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», одобренные решением коллегии Гостехкомиссии России № 7.2 от 2 марта 2001 г. . «Отчет об обследовании информационно-аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации». . «Порядок проведения классификации информационных систем персональных данных». Утвержден приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008 г. № 55/86/20. . «Положение о методах и способах защиты информации в информационных системах персональных данных» приложение к приказу ФСТЭК России от 05.02.2010 г. № 58. . «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005), утвержденное приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрирован Минюстом России 3 марта 2005 года, регистрационный № 6382). . «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», Утверждены руководством 8 Центра ФСБ России 21 февраля 2008 года, № 149/6/6-622. . «Модель угроз безопасности ПДн для информационно - аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)» . Федеральный закон Российской Федерации 2006 года № 152-ФЗ «О персональных данных». . Указ Президента Российской Федерации 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера». . Регламент распределения и инсталляции ключевых дистрибутивов в ИАС ЦА МЗРФ. . Руководство администратора безопасности ИАС ЦА МЗРФ. . Положение о методах и способах защиты информации в информационных системах персональных данных». Приложение к приказу ФСТЭК России от 05.02.2010 г. № 58 . Руководящий документ ФСТЭК России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (в тексте, для краткости, - РД «МЭ»)