МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 21 декабря 2011 г. N ММВ-7-4/959@
ОБ ОБЕСПЕЧЕНИИ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В АВТОМАТИЗИРОВАННЫХ ИНФОРМАЦИОННЫХ
СИСТЕМАХ НАЛОГОВЫХ ОРГАНОВ
Во исполнение статьи 19 Федерального закона
от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701) и в соответствии с Государственным контрактом от 23.07.2011 N 5-7-02/83 ФГУП ГНИВЦ ФНС России разработаны методические документы технического характера по защите персональных данных.
В целях установления единых технических требований к обработке персональных данных в автоматизированных информационных системах налоговых органов приказываю:
1. Утвердить и ввести в действие с даты подписания настоящего Приказа прилагаемые методические документы, предусматривающие рекомендации для территориальных налоговых органов по организации защиты персональных данных:
Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России (Приложение N 1);
Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог" (Приложение N 2);
2. Утвердить:
Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных центрального аппарата ФНС России (Приложение N 3);
Технические требования на систему защиты персональных данных в составе информационных систем персональных данных центрального аппарата ФНС России (Приложение N 4).
3. Управлениям ФНС России по субъектам Российской Федерации, межрегиональным инспекциям ФНС России, инспекциям ФНС России по районам, районам в городах, городам без районного деления, инспекциям ФНС России межрайонного уровня проанализировать состояние работы по защите персональных данных и до 1 марта 2012 г. принять меры по ее приведению в соответствие с требованиями подпункта 1 пункта 2 статьи 19 Федерального закона
от 27.07.2006 N 152-ФЗ "О персональных данных".
4. Управлению кадров (И.В. Шевченко) оказать методическую помощь территориальным налоговым органам при проведении работ по защите персональных данных.
5. Установить, что расходы на проведение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных налоговых органов осуществляются за счет смет доходов и расходов соответствующих налоговых органов, утвержденных в установленном порядке.
6. Контроль за исполнением настоящего Приказа оставляю за собой.
Руководитель Федеральной
налоговой службы
М.В.МИШУСТИН
Приложение N 1
Утверждена
Приказом ФНС России
от 21 декабря 2011 г. N ММВ-7-4/959@
МОДЕЛЬ
УГРОЗ И НАРУШИТЕЛЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ
ДАННЫХ ТИПОВОГО ОБЪЕКТА ИНФОРМАТИЗАЦИИ ФНС РОССИИ
I. Общие положения
Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России (далее - документ) подготовлена по итогам проведения обследования информационно-телекоммуникационной инфраструктуры типовых объектов информатизации ФНС России федерального, регионального и местного уровней на предмет выявления и выделения информационных систем, в которых осуществляется обработка персональных данных (далее - ИСПДн).
При разработке документа использованы материалы "Проекта модернизации архитектуры информационной системы ФНС России. Книга 1. Описание существующей архитектуры АИС "Налог". Части 1 - 11.
Документ разработан в соответствии с требованиями следующих нормативных актов:
Федерального закона Российской Федерации
от 27.07.2006 N 152-ФЗ "О персональных данных";
Постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";
Постановления Правительства Российской Федерации
от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных";
"Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной заместителем директора ФСТЭК России 15.02.2008;
"Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной заместителем директора ФСТЭК России 14.02.2008;
"Положения о методах и способах защиты информации в информационных системах персональных данных", утвержденного Приказом ФСТЭК России
от 05.02.2010 N 58.
II. Область применения
Настоящий документ разработан на основании руководящих документов ФСТЭК России в области обеспечения безопасности персональных данных (далее - ПДн) и предназначен для определения обоснованных мер защиты ПДн, обрабатываемых на типовом объекте информатизации ФНС России (далее - ТОИ ФНС России), от угроз, связанных:
с несанкционированным доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн;
с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения.
Модель нарушителя, приведенная в разделе VII настоящего документа, не распространяется на вопросы применения криптографических методов и способов защиты информации.
Мероприятия по обеспечению безопасности ПДн с помощью криптосредств при их обработке в ИСПДн на типовом объекте информатизации ФНС России осуществляются в соответствии с требованиями руководящих документов ФСБ России <1> и на основании "Модели нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог".
--------------------------------
<1> "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации". N 149/54-144, 2008 г., ФСБ России; "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных". N 149/6/6-622, 2008 г., ФСБ России.
III. Описание подхода к моделированию угроз безопасности ПДн
Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.
Результаты анализа и моделирования угроз предназначены для выбора адекватных оптимальных мер и методов парирования угроз.
На этапе обследования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн типовых объектов информатизации ФНС России.
Исходными данными для проведения оценки и анализа служат материалы обследования информационно-телекоммуникационной инфраструктуры ТОИ ФНС России, а также результаты анкетирования работников различных подразделений, в том числе руководства ФНС России, кадровых подразделений, служб безопасности, подразделений информационной безопасности и служб обеспечения. Анкетирование проводилось для уяснения направленности их деятельности, предполагаемых приоритетов и целей безопасности информации, задач, решаемых в ИСПДн, а также условий расположения и эксплуатации ИСПДн на основе методических документов ФСТЭК России.
"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн" содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающими условия для нарушения безопасности ПДн.
На основе "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн" проведена классификация угроз безопасности ПДн в составе ИСПДн ТОИ ФНС России и составлен перечень угроз безопасности ПДн в составе ИСПДн.
На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью "Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн" построена настоящая модель угроз безопасности ПДн в составе ИСПДн ТОИ ФНС России и выявлены актуальные угрозы.
IV. Классификация угроз безопасности ПДн в ИСПДн
Состав и содержание угроз безопасности ПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн.
Совокупность таких условий и факторов формируется с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угроз.
К характеристикам ИСПДн, обуславливающим возникновение угроз безопасности ПДн, можно отнести:
категорию и объем обрабатываемых в ИСПДн персональных данных;
структуру ИСПДн;
наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;
характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн;
режимы обработки ПДн;
режимы разграничения прав доступа пользователей ИСПДн;
местонахождение и условия размещения технических средств ИСПДн.
ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов. Основными элементами ИСПДн являются:
ПДн, содержащиеся в базах данных ИСПДн;
информационные технологии как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;
технические средства, осуществляющие обработку ПДн;
программные средства (операционные системы, системы управления базами данных и т.п.);
средства защиты информации;
вспомогательные технические средства и системы.
Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются ПДн, и определяются при оценке возможности реализации канала угроз безопасности ПДн.
Возможности источников угроз безопасности ПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.
Угроза безопасности ПДн реализуется в результате образования канала реализации угроз безопасности ПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Основными элементами канала реализации угроз безопасности ПДн являются:
источник угроз безопасности ПДн - субъект, материальный объект или физическое явление, создающие угрозы безопасности ПДн;
среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
носитель ПДн - физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
Носители ПДн могут содержать информацию, представленную в следующих видах:
акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;
информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;
информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.
В целях формирования систематизированного перечня угроз безопасности ПДн при их обработке в ИСПДн угрозы классифицируются в соответствии со следующими признаками:
1) по видам возможных источников угроз безопасности ПДн:
угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн (внутренний нарушитель);
угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующими угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель);
2) по структуре ИСПДн, на которую направлена реализация угроз безопасности ПДн:
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автоматизированного рабочего места;
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем;
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем;
3) по виду несанкционированных действий, осуществляемых с ПДн:
угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;
угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;
угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн;
4) по способам реализации угроз безопасности ПДн:
угрозы, реализуемые в ИСПДн при их подключении к сетям связи общего пользования;
угрозы, реализуемые в ИСПДн при их подключении к сетям международного информационного обмена;
угрозы, реализуемые в ИСПДн, не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена;
5) по виду каналов, с использованием которых реализуется угроз безопасности ПДн:
угрозы, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в технических средствах ИСПДн, или вспомогательные технические средства и системы (ВТСС) (технические каналы утечки информации);
угрозы, реализуемые за счет несанкционированного доступа к ПДн в ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения.
Реализация одной из угроз безопасности ПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:
значительные негативные последствия для субъектов ПДн;
негативные последствия для субъектов ПДн;
незначительные негативные последствия для субъектов ПДн.
Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн и описываются следующим образом:
угроза утечки ПДн по техническим каналам: = <источник угрозы (приемник информативного сигнала)>, <среда (путь) распространения информационного сигнала>, <источник (носитель) ПДн>.
Угрозы, связанные с НСД, представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:
угроза НСД: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <несанкционированный доступ>.
V. Общее описание угроз безопасности ПДн,
обрабатываемых в ИСПДн
При обработке ПДн в ИСПДн возможна реализация следующих видов угроз безопасности ПДн:
угрозы утечки информации по техническим каналам;
угрозы НСД к ПДн, обрабатываемым в ИСПДн.
5.1. Угрозы утечки информации по техническим каналам
Основными элементами угроз в части утечки информации по техническим каналам, в общем случае, являются:
источник угрозы (физические лица, не имеющие доступа к ИСПДн, организации, в том числе криминальные и террористические группировки), которые потенциально могут осуществлять перехват (съем) информации с использованием технических средств;
среда (путь) распространения информативного сигнала (физическая среда, по которой информативный сигнал может распространяться и приниматься (регистрироваться) приемником);
носитель защищаемой информации, а также технические средства ИСПДн и ВТСС, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн за счет реализации следующих технических каналов утечки информации:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналам ПЭМИН.
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.
Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.
Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора.
5.2. Угрозы несанкционированного доступа
Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя:
1) Угрозы доступа (проникновения) в операционную среду ИСПДн (компьютера) с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа.
Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера.
Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия.
2) Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.
Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств - это угрозы "Отказа в обслуживании". Их реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению:
содержания служебной информации в пакетах сообщений, передаваемых по сети;
условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);
форматов представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия);
программного обеспечения обработки данных.
В результате реализации угроз "Отказа в обслуживании" происходит переполнение буферов и блокирование процедур обработки, "зацикливание" процедур обработки и "зависание" компьютера, отбрасывание пакетов сообщений и др.
3) Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, на сегодняшний день существует большое количество вредоносных программ (по некоторым оценкам значительно превышает сто тысяч). Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать разновидность вредоносной программы, способы и последствия от ее внедрения (инфицирования).
VI. Описание и анализ существующих угроз безопасности ПДн,
обрабатываемых в ИСПДн ТОИ ФНС России
6.1. Угрозы утечки информации по техническим каналам
При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн (далее - УБПДн) за счет реализации следующих технических каналов утечки информации:
угрозы утечки акустической (речевой) информации;
угрозы утечки видовой информации;
угрозы утечки информации по каналам ПЭМИН.
6.1.1. Угрозы утечки акустической (речевой) информации
Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, а также при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.
Утечка акустической (речевой) информации может быть осуществлена:
с помощью аппаратных закладок;
за счет съема виброакустических сигналов;
за счет излучений, модулированных акустическим сигналом (микрофонный эффект и ВЧ облучение);
за счет оптического излучения, модулированного акустическим сигналом.
В ИСПДн ТОИ ФНС России не реализованы функции голосового ввода ПДн в ИСПДн или функции воспроизведения ПДн акустическими средствами ИСПДн. В связи с этим рассмотрение угроз утечки акустической (речевой) информации нецелесообразно, так как отсутствуют предпосылки для возникновения угроз этого вида.
6.1.2. Угрозы утечки видовой информации
Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.
Кроме этого, просмотр (регистрация) ПДн возможен с использованием специальных электронных устройств съема, внедренных в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.
Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн.
Утечка видовой информации может быть осуществлена:
за счет удаленного просмотра экранов дисплеев и других средств отображения информации;
с помощью видеоаппаратных закладок.
В ИСПДн ТОИ ФНС России отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях или в непосредственной близости от них, соответственно отсутствует возможность непосредственного перехвата ПДн с помощью оптических (оптикоэлектронных) средств, а также возможность установки аппаратных видеозакладок.
С учетом изложенного рассмотрение угроз утечки видовой информации нецелесообразно, так как отсутствуют предпосылки для реализации угроз этого вида.
6.1.3. Угрозы утечки информации по каналам ПЭМИН
Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.
Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн.
Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн (средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приема и обработки ПДн).
Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации.
Утечка информации по каналам ПЭМИН может быть осуществлена:
за счет побочных электромагнитных (ЭМ) излучений ЭВТ;
за счет наводок по цепям питания;
за счет радиоизлучений, модулированных информационным сигналом.
На возможность перехвата ПДн по каналам ПЭМИН на ТОИ существенное влияние оказывают следующие факторы:
размещение технических средств и кабельных сетей ИСПДн, создающих побочные электромагнитные излучения и наводки, в пределах контролируемой зоны ТОИ;
применение для обработки ПДн технических средств, отвечающих требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники;
наличие на ТОИ интенсивных источников электромагнитных помех (большого числа одновременно работающих ПЭВМ и других технических средств, ограниченная часть которых в конкретный момент времени осуществляет обработку ПДн), что делает крайне сложным возможность выделения информативных сигналов из суммарного поля побочных электромагнитных излучений (наводок) и таким образом существенно снижает вероятность перехвата ПЭМИН от средств обработки ПДн;
хранение информации в базах данных, содержащих ПДн, в неструктурированном (дефрагментированном) виде (ее фрагменты распределяются по полям, кластерам и др.), что существенно затрудняет возможность получения и обработки информации средствами перехвата в виде, доступном для использования;
обеспечение контрольно-пропускного режима в контролируемую зону ТОИ;
обеспечение контролируемого доступа персонала и посетителей в помещения, где осуществляется обработка ПДн.
Перечисленные факторы (причины) существенно затрудняют возможность перехвата информации по каналам ПЭМИН.
Кроме того, для нарушителей, способных реализовать угрозу данного вида, требуется высокий уровень технической оснащенности и применение дорогостоящих специализированных средств перехвата информации, что с учетом несоответствия относительно низкой ценности ПДн и высокой стоимости реализации угрозы делает возможность перехвата ПДн по каналам ПЭМИН крайне маловероятной.
Таким образом, с учетом перечисленных факторов реализация угрозы перехвата ПДн по каналам ПЭМИН является маловероятной (неактуальной) и далее не рассматривается.
6.2. Угрозы НСД к ПДн, обрабатываемым в ИСПДн ТОИ ФНС России
Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в ИСПДн могут быть аппаратные закладки и отчуждаемые носители вредоносных программ.
1) В ИСПДн ТОИ ФНС России возможны:
угрозы, реализуемые в ходе загрузки операционной системы:
перехват паролей или идентификаторов;
модификация базовой системы ввода/вывода (BIOS), перехват управления загрузкой;
2) угрозы, реализуемые после загрузки операционной системы:
выполнение несанкционированного доступа с применением стандартных функций операционной системы;
выполнение несанкционированного доступа с помощью прикладной программы (например, системы управления базами данных);
выполнение несанкционированного доступа с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);
утечка информации с использованием копирования ее на съемные носители;
утечка данных посредством печати информации;
утечка информации за счет ее несанкционированной передачи по каналам связи;
3) угрозы внедрения вредоносных программ с использованием съемных носителей;
4) угрозы утечки информации с помощью аппаратных закладок;
5) угрозы "Анализа сетевого трафика" - перехват передаваемой во внешние сети и принимаемой из внешних сетей информации;
6) угрозы сканирования - выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др.;
7) угрозы получения НСД путем подмены доверенного объекта:
обход системы идентификации и аутентификации сообщений;
обход системы идентификации и аутентификации сетевых объектов;
8) угрозы внедрения ложного объекта сети - перехват запросов и модификация адресных данных (с использованием протоколов SAP, ARP, DNS, WINS);
9) угрозы навязывания ложного маршрута - несанкционированное изменение маршрутно-адресных данных (с использованием протоколов RIP, OSPF, LSP, ICMP, SNMP);
10) угрозы выявления паролей:
перехват и взлом паролей;
подбор паролей доступа;
11) угрозы типа "Отказ в обслуживании";
12) угрозы удаленного запуска приложений:
внедрение троянских программ;
атаки типа "переполнение буфера";
с использованием средств удаленного управления;
13) угрозы внедрения по сети вредоносных программ:
внедрение вредоносных программ через почтовые сообщения;
внедрение вредоносных программ через обмен и загрузку файлов;
внедрение вредоносных программ через зараженные Web-страницы;
заражение сетевыми червями, использующими уязвимости сетевого ПО.
6.3. Общая характеристика источников угроз НСД
Источниками угроз НСД в ИСПДн могут быть носитель вредоносной программы, аппаратная закладка, нарушитель.
6.3.1. Носитель вредоносной программы
Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:
отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;
встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок, - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода-вывода);
микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).
Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:
пакеты передаваемых по компьютерной сети сообщений;
файлы (текстовые, графические, исполняемые и т.д.).
6.3.2. Аппаратная закладка
Потенциально может рассматриваться возможность применения аппаратных средств, предназначенных для регистрации вводимой в ИСПДн с клавиатуры АРМ информации (ПДн), например:
аппаратная закладка внутри клавиатуры;
считывание данных с кабеля клавиатуры бесконтактным методом;
включение устройства в разрыв кабеля;
аппаратная закладка внутри системного блока и др.
Однако отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях, в которых размещены технические средства ИСПДн, или в непосредственной близости от них, соответственно отсутствует возможность установки аппаратных закладок посторонними лицами.
Существование данного источника угроз маловероятно также из-за несоответствия стоимости аппаратных закладок, сложности их скрытой установки и полученной в результате информации.
VII. Модель нарушителя безопасности ПДн,
обрабатываемых в ИСПДн ТОИ ФНС России
Под нарушителем безопасности информации понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в ИСПДн <2>.
--------------------------------
<2> "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.), раздел 1.
По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:
Внешние нарушители - нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;
Внутренние нарушители - нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.
7.1. Внешний нарушитель
Внешними нарушителями могут быть криминальные структуры, недобросовестные налогоплательщики, недобросовестные партнеры, внешние субъекты (физические лица).
Внешний нарушитель имеет следующие возможности:
осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;
осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;
осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;
осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;
осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн ТОИ ФНС России.
7.2. Внутренний нарушитель
Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.
Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.
К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.
Лицо этой категории может:
иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;
располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
располагать именами и вести выявление паролей зарегистрированных пользователей;
изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.
Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.
Лицо этой категории:
обладает всеми возможностями лиц первой категории;
знает по меньшей мере одно легальное имя доступа;
обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
располагает конфиденциальными данными, к которым имеет доступ.
Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн, должны регламентироваться соответствующими правилами разграничения доступа.
К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.
Лицо этой категории:
обладает всеми возможностями лиц первой и второй категорий;
располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн;
имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.
К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;
обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;
имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;
имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;
обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.
К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации (СКЗИ), мониторинга, регистрации, архивации, защиты от НСД.
К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.
Лицо этой категории:
обладает всеми возможностями лиц предыдущих категорий;
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).
Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.
К седьмой категории относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.
Лицо этой категории:
обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.
Лицо этой категории:
обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.
Указанные категории нарушителей должны учитываться при оценке возможностей реализации УБПДн.
Для ИСПДн ТОИ ФНС России существует возможность реализации угроз НСД к ПДн со стороны внутренних потенциальных нарушителей, приведенных в таблице 1.
VIII. Общая характеристика уязвимостей ИСПДн
Уязвимость ИСПДн - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности ПДн.
Причины возникновения уязвимостей:
ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;
преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;
неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;
несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);
внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;
несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;
сбои в работе аппаратного и программного обеспечения, вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.
К основным группам уязвимостей ИСПДн относятся:
уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);
уязвимости прикладного программного обеспечения (в том числе средств защиты информации).
8.1. Характеристика уязвимостей системного
программного обеспечения
Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем. При этом возможны уязвимости:
в микропрограммах, в прошивках запоминающих устройств;
в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;
в средствах операционной системы, предназначенных для выполнения вспомогательных функций - утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);
в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.
Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:
функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;
фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;
отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.
8.2. Характеристика уязвимостей прикладного
программного обеспечения
К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.
Прикладные программы общего пользования - текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.
Специальные прикладные программы - это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой:
функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;
функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;
фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;
отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);
ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.
IX. Характеристика угроз непосредственного доступа
в операционную среду ИСПДн
Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом:
к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) ИСПДн, с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;
в операционную среду, то есть среду функционирования локальной операционной системы отдельного технического средства ИСПДн, с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;
в среду функционирования прикладных программ (например, к локальной системе управления базами данных);
непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных), обусловленной возможностью нарушения ее конфиденциальности, целостности и доступности.
Эти угрозы могут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн:
1) угрозы, реализуемые в ходе загрузки операционной системы, направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.
2) угрозы, реализуемые после загрузки операционной среды (независимо от того, какая прикладная программа запускается пользователем), как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программой общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:
программами просмотра и модификации реестра;
программами поиска текстов в текстовых файлах по ключевым словам и копирования;
специальными программами просмотра и копирования записей в базах данных;
программами быстрого просмотра графических файлов, их редактирования или копирования;
программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др.
3) угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ, - это угрозы внедрения вредоносных программ.
X. Общая характеристика угроз безопасности ПДн, реализуемых
с использованием протоколов межсетевого взаимодействия
Классификация угроз, реализуемых по сети, приведена в таблице 2. В ее основу положено семь первичных признаков классификации.
С учетом проведенной классификации можно выделить восемь угроз, реализуемых с использованием протоколов межсетевого взаимодействия:
анализ сетевого трафика;
сканирование сети;
угроза выявления пароля;
подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа;
навязывание ложного маршрута сети;
внедрение ложного объекта сети;
отказ в обслуживании;
удаленный запуск приложений.
10.1. Анализ сетевого трафика
Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель:
изучает логику работы ИСПДн - то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;
перехватывает поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающих шифрование), ее подмены, модификации и т.п.
10.2. Сканирование сети
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них.
Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
10.3. Угроза выявления пароля
Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ хосту путем последовательного подбора паролей. В случае успеха злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.
10.4. Подмена доверенного объекта сети и передача по каналам
связи сообщений от его имени с присвоением его прав доступа
Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).
Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP), являются два 32-битных параметра Initial Sequence Number - ISS (Номер последовательности) и Acknowledgment Number - ACK (Номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения - ISSa и ISSb, где:
ISSa - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом А;
ISSb - некоторое численное значение, характеризующее порядковый номер отправляемого TCP-пакета, устанавливаемого TCP-соединения, инициированного хостом В.
Значение ACK (номера подтверждения установления TCP-соединения) определяется как значение номера полученного от респондента ISS (номер последовательности) плюс единица ACKb = ISSa+1.
В результате реализации угрозы нарушитель получает права доступа к техническому средству ИСПДн - цели угроз, установленные его пользователем для доверенного абонента.
10.5. Навязывание ложного маршрута сети
Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.
10.6. Внедрение ложного объекта сети
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.
10.7. Отказ в обслуживании
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.
Могут быть выделены несколько разновидностей таких угроз:
скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;
явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);
явный отказ в обслуживании, вызванный нарушением логической связности между техническим средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;
явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка ИСПДн из-за невозможности системы заниматься ничем другим, кроме обработки запросов.
10.8. Удаленный запуск приложений
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.
Выделяют три подкласса данных угроз:
1) Распространение файлов, содержащих несанкционированный исполняемый код. Типовые угрозы этого подкласса основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.
2) Удаленный запуск приложения путем переполнения буфера приложений-серверов. При угрозах этого подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса".
3) Удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками либо используемыми штатными средствами.
При угрозах этого подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back Orifice, Net Bus) либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т.п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
XI. Общая характеристика угроз
программно-математических воздействий
Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:
скрывать признаки своего присутствия в программной среде компьютера;
обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;
разрушать (искажать произвольным образом) код программ в оперативной памяти;
выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);
сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.
Вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения и разнообразных сетевых технологий, обладают широким спектром возможностей и могут действовать во всех видах программного обеспечения.
Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.
Основными видами вредоносных программ являются:
программные закладки;
классические программные (компьютерные) вирусы;
вредоносные программы, распространяющиеся по сети (сетевые черви);
другие вредоносные программы, предназначенные для осуществления НСД.
Вредоносными программами, обеспечивающими осуществление НСД, могут быть:
программы подбора и вскрытия паролей;
программы, реализующие угрозы;
программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;
программы-генераторы компьютерных вирусов;
программы, демонстрирующие уязвимости средств защиты информации и др.
XII. Общая характеристика нетрадиционных
информационных каналов
Нетрадиционный информационный канал - это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.
Для формирования нетрадиционных каналов могут использоваться методы:
компьютерной стеганографии <3>;
--------------------------------
<3> Стеганография - искусство прятать информацию среди другой информации.
основанные на манипуляции различных характеристик ИСПДн, которые можно получать санкционированно (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т.п.).
Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов:
на использовании специальных свойств компьютерных форматов хранения и передачи данных;
на избыточности аудио-, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека.
Наибольшее развитие и применение в настоящее время находят методы сокрытия информации в графических стегоконтейнерах. Это обусловлено сравнительно большим объемом информации, который можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления изображений. В настоящее время существует целый ряд доступных программных продуктов, реализующих известные стеганографические методы сокрытия информации. При этом преимущественно используются графические и аудиоконтейнеры.
В нетрадиционных информационных каналах, основанных на манипуляции различными характеристиками ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний.
Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн:
на аппаратном уровне;
на уровне микрокодов и драйверов устройств;
на уровне операционной системы;
на уровне прикладного программного обеспечения;
на уровне функционирования каналов передачи данных и линий связи.
Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п.
Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала.
Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД.
XIII. Общая характеристика результатов
несанкционированного или случайного доступа
Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности:
1) нарушению конфиденциальности (копирование, неправомерное распространение), которое может быть осуществлено в случае утечки информации за счет:
копирования ее на отчуждаемые носители информации;
передачи ее по каналам передачи данных;
при просмотре или копировании ее в ходе ремонта, модификации и утилизации программно-аппаратных средств;
при "сборке мусора" нарушителем в процессе эксплуатации ИСПДн.
2) нарушению целостности (уничтожение, изменение) за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную) информацию, включающую:
микропрограммы, данные и драйвера устройств вычислительной системы;
программы, данные и драйвера устройств, обеспечивающих загрузку операционной системы;
программы и данные (дескрипторы, описатели, структуры, таблицы и т.д.) операционной системы;
программы и данные прикладного программного обеспечения;
программы и данные специального программного обеспечения;
промежуточные (оперативные) значения программ и данных в процессе их обработки (чтения/записи, приема/передачи) средствами и устройствами вычислительной техники.
Нарушение целостности информации в ИСПДн может также быть вызвано внедрением в нее вредоносной программы программно-аппаратной закладки или воздействием на систему защиты информации или ее элементы.
Кроме этого, в ИСПДн возможно воздействие на технологическую сетевую информацию, которая может обеспечивать функционирование различных средств управления вычислительной сетью:
конфигурацией сети;
адресами и маршрутизацией передачи данных в сети;
функциональным контролем сети;
безопасностью информации в сети.
3) нарушению доступности (блокирование) путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратуры или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратуры.
Указанные действия могут привести к нарушению или отказу функционирования практически любых технических средств ИСПДн:
средств обработки информации;
средств ввода/вывода информации;
средств хранения информации;
аппаратуры и каналов передачи;
средств защиты информации.
XIV. Определение уровня исходной защищенности
ИСПДн ТОИ ФНС России
Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (
