Разработка модели угроз и нарушителя информационной системы персональных данных организации

Размещено на http://www.allbest.ru/

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Саратовский государственный технический университет имени Гагарина Ю.А.»

Институт прикладных информационных технологий и коммуникаций

Кафедра Информационная безопасность автоматизированных систем

Направление Информационная безопасность

Отчет

По НИР

Разработка модели угроз и нарушителя информационной системы персональных данных организации

Выполнил: студент 1 курса учебной группы м-ИФБСоз11 очно-заочной формы обучения

Афашоков А.Р.

Научный руководитель: должность каф. ИБС

д.ф.-м.н., профессор Байбурин В.Б. научный руководитель должность каф. ИБС

Саратов 2020

ЗАДАНИЕ

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Саратовский государственный технический университет имени Гагарина Ю.А.»

Институт прикладных информационных технологий и коммуникаций

Кафедра Информационная безопасность автоматизированных систем

Направление Информационная безопасность

на научно-исследовательскую работу магистранта (НИРМ)

студенту учебной группы м-ИФБСоз11 Института прикладных информационных технологий и коммуникаций

Афашокову Ивану Ивановичу

(фамилия, имя, отчество)

ТЕМА НАУЧНО-ИССЛЕДОВАТЕЛЬСКОЙ РАБОТЫ

Разработка модели угроз и нарушителя информационной системы персональных данных организации

Утверждена на заседании кафедры, протокол от « » 20 г. №

Начало выполнения работы « » 20 г.

Окончание выполнения работы « » 20 г.

Дата представления « » 20 г.

Оценка ___________

Руководитель НИРМ,

к.ф.-м.н., доцент кафедры ИБС Иванов И.И.

Руководитель магистерской подготовки,

д.ф.-м.н., профессор Байбурин В.Б.

Целевая установка и исходные данные

Целью научно-исследовательской работы выступает изучение теоретических основ разработки модели угроз и нарушителя информационной системы персональных данных организации

Для достижения поставленной темы необходимо решить следующие задачи:

ознакомится с теоретическими основами и законодательным регулированием персональных данных;

привести классификацию информационных систем персональных данных;

дать основные понятия и определить назначение модели угроз и модели нарушителя.

Руководитель НИРМ____________________________________Иванов И.И.

№ п/п	Содержание отчета о выполнении НИРМ (перечень вопросов, подлежащих разработке)	Консультанты
	Теоретические основы и законодательное регулирование персональных данных
	Классификация информационных систем персональных данных
	Основные понятия и назначение модели угроз и модели нарушителя
	Подведение итогов исследования, составление вывода

Основная рекомендуемая литература

Конституция РФ (принята всенародным голосованием 12.12.1993 г., изм. В ходе общероссийского голосования от 01.07.2020 г.).

Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и защите информации».

Федеральный закон от 27.07.2006 г. №152-ФЗ «О персональных данных» (ред. от 24.04.2020 г.).

Указ Президента Российской Федерации от 05.12.2016 г. №646 «Об утверждении Доктрины информационной безопасности Российской Федерации».

Постановление Правительства РФ от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Абаев Ф.А. Правовое регулирование отношений по защите персональных данных работника в трудовом праве: дис. … канд. юр. наук.: 12.00.05. / Абаев Феликс Артурович. Москва. 2014. С. 85.

Бачило, И.Л. Персональные данные в структуре информационных ресурсов. Основы правового регулирования /И.Л. Бачило, Л.А. Сергиенко, Б.А. Кристальный., А.Г. Арешев // Информационное право. - 2016. - №3. - С. 4.

Руководитель НИРМ, к.ф.-м.н., доцент _____________________ Иванов И.И.

Задание принял к исполнению «___» __________20__ г.

Магистрант _____________________ Афашоков А.Р.

УТВЕРЖДАЮ К заданию на НИРМ

Руководитель НИРМ, к.т.н., доцент

_______________ Иванов И.И.

«__» __________ 20__ г.

КАЛЕНДАРНЫЙ ГРАФИК

№	Разделы, темы и их содержание	По плану	Фактически	Отметка руководителя о выполнении
		дата	объем в %	дата	объем в %
	Введение
	Теоретические основы и законодательное регулирование персональных данных
	Классификация информационных систем персональных данных
	Основные понятия и назначение модели угроз и модели нарушителя
	Заключение

Магистрант _____________________ Афашоков А.Р.

«___» ______________ 20__ г.

Введение

Деятельность любого предприятия на сегодняшний день не представляется без обработки персональных данных, так как предприятия взаимодействуют физическими и юридическими лицами в своей работе, а также ведут бухгалтерский и кадровый учет. При этом существует большое многообразие способов обработки персональных данных, как с использованием электронных, так и с использованием бумажных документов. И одной из приоритетных задач в функционировании предприятия выступает работа по защите персональных данных.

В целях реализации данной работы на предприятиях устанавливаются современные программные и аппаратные системы защиты, которые осуществляют безопасность и надежность по защите персональных данных. И на сегодняшний день существует множество таких систем, и каждое предприятие стремится применять в своей деятельности наилучшую. Ведь та информационная среда, в которой общаются персональные данные, входящие в состав информационной системы предприятия, очень важна. Для максимальной безопасности данной информационной среды предприятия анализируют все ее аспекты, собирают информацию в целом по организации, анализируют периметр объекта и контролируемых зон, выявляют существование на предприятии системы безопасности, видеонаблюдения и пожарно-охранной сигнализации. Также предприятия описывают составляющие информационной системы, порядок ее взаимодействия с источниками данных, топологию сети, программные и аппаратные системы защиты, иные составляющие и расположение серверов и рабочих станций сотрудников.

По итогам анализирования вышеперечисленных данных и составляются модель угроз и модель нарушителя информационной безопасности. На практике данный документ включает в себя сведения обо всех возможных угрозах и нарушителях, порядках их предотвращения для обеспечения стабильной работы информационной системы в целом и обеспечения непрерывности бизнеса. Именно поэтому тема разработки данных моделей информационной системы персональных данных выступает значимой и актуальной.

Целью научно-исследовательской работы выступает изучение теоретических основ разработки модели угроз и нарушителя информационной системы персональных данных организации. Достижению цели в работе способствует реализация ряда задач, таких как:

ознакомится с теоретическими основами и законодательным регулированием персональных данных;

привести классификацию информационных систем персональных данных; дать основные понятия и определить назначение модели угроз и модели нарушителя.

Объектом в работе выступает информационная система предприятия, реализующая обработку персональных данных. Предметом исследования являются модели угроз и нарушителя информационной системы персональных данных.

В ходе исследования применялись методы теоретического анализа, классификации, описания, методы анализа законодательных и иных нормативных актов. Практическая значимость работы заключается в том, что ее результаты будут служить информационной основой и могут быть применены для разработки моделей угроз и нарушителя информационной системы персональных данных любого государственного или коммерческого предприятия, учитывая требования законодательства РФ в области защиты информации и персональных данных.Научно-исследовательская работа состоит из введения, включающего в себя постановку цели и задачи работы, определения актуальности исследования, основной части, содержащей в себе отчет об исследовании, заключения, включающего выводы и результаты исследования, и списка литературы.

Теоретические основы и законодательное регулирование персональных данных

Изучая персональные данные, их понятие и сущность, в первую очередь определим, что они относятся к объектам информации. Так, согласно законодательству РФ информацией является сведения о лицах, предметах, фактах, событиях, явлениях и процессах, не зависимо от формы их предоставления. Данное определение приводится в финансовом словаре. Более краткое понятие дает Федеральный закон «Об информации, информационных технологиях и защите информации» №149-ФЗ, п. 1 ст. 2 которого говорит о том, что информация - сведения (сообщения, данные) независимо от формы их представления. Данный закон дает полное многостороннее определение не только информации, но также всем ее субъектам, операциям, совершаемым с информацией (например, распространение информации), видам информации и формам ее проявления (например, сайт в сети «Интернет»). В соответствии с данным законом законодательство РФ об информации, информационных технологиях и о защите информации основывается на Конституции РФ, а также международных договорах РФ.

Тогда, основываясь на Федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 г. дадим определение персональным данным: персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Также, по мнению А.В. Дворецкого, персональные данные - это сведения о фактах, событиях и обстоятельствах жизни, предоставляемые с целью обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности. А автор А.М. Лушников, определяет персональные данные как информацию (зафиксированную на любом материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним.

В свою очередь, Ф.А. Абаев предложил более узкое определение персональных данных. Персональные данные - это информация, которая имеет отношение к личным данным человека - имени, фамилии, возрасту, полу, профессиональной квалификации, деловым, качествам.

Дефиницию «персональные данные» включает Конвенция о защите физических лиц при автоматизированной обработке персональных данных: персональные данные - информация, касающаяся конкретного или могущего быть идентифицированным лица («субъекта данных»).

Обобщая вышесказанное можно отметить, что персональные данные квалифицируются к частной жизни человека. Именно одно из ведущих мест в системе личных конституционных прав и свобод человека занимает право на неприкосновенность частной жизни. А п. 1 ст. 23 Конституции РФ определила, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Таким образом, каждый имеет право на защиту персональных данных, что определено высшим законодательным актом нашего государства. Прежде чем перейти к изучению правил и нормативов защиты персональных данных, приведем их классификацию. Отметим, что перечень сведений, которые могут быть отнесены к персональным данным, является открытым. Так, персональные данные классифицируются по следующим категориям.

Общедоступные источники персональных данных (в том числе справочники, адресные книги) могут создаваться в целях информационного обеспечения. В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Специальные категории персональных данных - это данные о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

Биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, - включают отпечатки пальцев, результаты анализа ДНК, сетчатку глаза, различные отклонения в развитии.

Субъект персональных данных - физическое лицо, которое также определяется законом №152-ФЗ. Представляется, что право субъекта персональных данных на их тайну и неприкосновенность содержит правомочия требовать от третьих лиц не нарушать тайну персональных данных, представить соответствующую информацию (или ее часть) другим лицам, определять содержание и судьбу персональных данных, которые в силу тех или иных обстоятельств стали известными третьим лицам, в установленных законом пределах. Так, гражданин имеет право дать согласие на обработку персональных данных, отозвать согласие на обработку (пример согласия на обработку персональных данных представлен в приложении 1); получить сведения об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных; осуществить доступ к своим персональным данным; требовать уточнения своих персональных данных, их блокирования или уничтожения в установленных случаях.

Субъектами, обязанными соблюдать тайну и неприкосновенность персональных данных, считаются:

а) специальные субъекты - операторы, иные лица, получившие доступ согласно договору с оператором;

б) иные любые граждане, юридические лица, которым в силу тех или иных обстоятельств стали известны чужие персональные данные.

Операторами считаются государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Если оператор на основании договора поручает обработку персональных данных другому лицу, условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Обязанность защиты обрабатываемых персональных данных от неправомерных действий третьих лиц возлагается именно на оператора. Изначально, защитой информации является деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Защита информации может быть правовой, технической, криптографической и физической. Определение данным понятиям дает национальный стандарт РФ.

В соответствии с Доктриной информационной безопасности РФ, утвержденной Указом Президента РФ в 2016 г. информационная безопасность РФ - состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государства. Данный термин подразумевает под собой свойство информации сохранять конфиденциальность, целостность и доступность. Кроме того, данное понятие может включать в себя также и свойство сохранять аутентичность, подотчетность, неотказуемость и надежность.

Также, в области защиты информации, а конкретно информации о каком-либо лице, то есть защиты частной жизни регулируются в РФ 24 статьей Конституции РФ. В соответствии с данным законодательным документом, сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. На основании данной статьи можно сказать, что пользоваться личными данными гражданина оператор имеет право только с его согласия. На практике чаще всего такое согласие берется в письменной форме.

Операторы обработки персональных данных в своей работе могут ссылаться на ст. 29 Конституции РФ. Пункт 4 данной статьи говорит о том, что каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом. Обязанность операторов персональных данных предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Федерального закона №152-Фз (ч. 1, ст. 18) состоит в следующем:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

В случаях, когда оператором персональных данных выступает организация, например работодатель для работника, то организации руководствуются следующим перечнем законов, подзаконов и нормативных актов (рис. 1), разрабатывая на их основе внутренние документы.

Рисунок 1 - Нормативно-правовые акты, на которые ориентируются организации в вопросах защиты персональных данных

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (приложение 1).

Закон также предусматривает случаи, когда согласие субъекта ПДН не требуется для обработки сведений о нем:

обработка персональных данных осуществляется в соответствии с иными федеральными законами, например, некоторые федеральные законы предусматривают обязательное предоставление субъекту ПДН своих персональных данных в целях защиты конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.;

-оператор и субъект ПДН связаны договором на совершение действий, требующих обработки персональных данных этого субъекта, например договором, по которому туристическая компания (оператор) вправе использовать персональные данные субъекта для бронирования гостиниц;

-обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДН, если получение его согласия невозможно, например, госпитализация лица в результате несчастного случая;

-обработка персональных данных необходима для доставки почты почтовыми организациями, для осуществления операторами связи расчетов с пользователями услуг связи за оказанные услуги и для рассмотрения жалоб пользователей услуг связи;

-обработка персональных данных осуществляется в целях профессиональной деятельности журналиста или в целях научной, литературной или иной творческой деятельности при условии, что не нарушаются права и свободы субъекта ПДН;

-Обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, занимающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности, осуществляется.

Во всех остальных случаях оператор обязан соблюдать требования российского законодательства об обработке персональных данных. Закон предусматривает гражданскую, уголовную, административную, дисциплинарную и иную ответственность за нарушение его требований.

Классификация информационных систем персональных данных

Операторы персональных данных для их обработки, защиты, применяет информационные системы. До 11 марта 2013 г. все организации, в том числе государственные и муниципальные органы, которые осуществляют обработку персональных данных, обязаны были проводить классификацию информационных систем, а также определять цели и содержание такой обработки. Классификация проводилась с целью определения способов и методов, которые необходимо было применять для защиты персональных данных. Классификация проводилась как на стадии создания информационной системы, так и на стадии ее модернизации.

Классификация ИСПД осуществляется на этапе ее создания или в процессе эксплуатации, но обязательно до начала строительства СЗПД. В целом все информационные системы, обрабатывающие персональные данные, делятся на 2 класса в зависимости от характеристик безопасности обрабатываемых данных:

Стандартные информационные системы - системы, в которых требуется обеспечить только конфиденциальность обрабатываемых персональных данных.

Специальные информационные системы - системы, в которых требуется обеспечить хотя бы одну из характеристик безопасности, отличную от конфиденциальности (например, целостность или доступность). Специальные информационные системы должны включать::

ИНТЕРНЕТ-провайдеры, связанные с обработкой ПДН о состоянии здоровья субъектов ПДН;

Интернет-провайдеры, принимающие решения исключительно на основе автоматизированной обработки ПДН. При этом принятые решения могут повлечь правовые последствия для субъекта ПДН или иным образом повлиять на его законные права и интересы.

В соответствии с методикой, предложенной в Приказе, ИСПД классифицируется по количеству субъектов, данные которых обрабатываются, и типу обрабатываемых персональных данных.

Для проведения классификации создавалась комиссия, в состав которой входили специалисты по защите информации и другие сотрудники, непосредственно отвечающие за безопасность персональных данных. Процедура проведения классификации устанавливалась так называемым «приказом трех» (Совместный приказ ФСТЭК, ФСБ и Мининформсвязи РФ от 13.02.2008 г.), который в настоящее время отменен.

В ходе определения классификации комиссия осуществляла анализ собранных исходных данных об информационной системе, таких как:

количество субъектов, персональные данные которых обрабатываются (объем); категория персональных данных;

характеристики безопасности персональных данных;

структура информационной системы (автономные, локальные или распределенные системы);

наличие подключений к сетям общего пользования, в том числе сети Интернет;

режим обработки (может быть однопользовательский и многопользовательский);

наличие разграничения прав доступа к персональным данным в информационной системе;

территориальное расположение элементов информационной системы (могут быть расположены в пределах РФ либо за пределами РФ частично или полностью).

На первом этапе комиссия проводит сбор и анализ исходных данных по каждой информационной системе, обрабатывающей сведения, указанные в Перечне персональных данных, подлежащих защите, которые представлены в таблице 1.

Таблица 1 - Алгоритм анализа персональных данных (ПДн) информационной системе

Состав и структура персональных данных	Перечень персональных данных, обрабатываемых в ИСПДн
Категория ПДн, обрабатываемых в ИСПДн	Хпд: 1 / 2 / 3 / 4
Объем ПДн, обрабатываемых в ИСПДн	Хнпд: 1 / 2 / 3
Количество рабочих станций, входящих в состав ИСПДн
Структура ИСПДн	Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн
Количество пользователей, допущенных к работе в ИСПДн
Режим обработки ПДн в ИСПДн	Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа
Подключение ИСПДн к локальным (распределенным) сетям общего пользования	Имеется / не имеется
Подключение ИСПДн к сетям международного информационного обмена	Имеется / не имеется
Тип ИСПДн	Типовая / специальная
Местонахождение технических средств ИСПДн	Все технические средства ИСПДн находятся в пределах Российской Федерации / технические средства ИСПДн частично или целиком находятся за пределами Российской Федерации

Поясним некоторые категории вышепредставленной таблицы. Так, определяя персональные данные, обрабатываемые в ИСПДн, должен быть определен перечень персональных данных, обработка которых ведется в ИСПДн. Также, должен быть определен объем записей персональных данных в ИСПДн, может принимать значение:

1 - в информационной системе одновременно обрабатываются ПДн более чем 100 000 субъектов ПДн или ПДн субъектов ПДн в пределах субъекта Российской Федерации или Российской Федерации в целом;

2 - в информационной системе одновременно обрабатываются ПДн от 1000 до 100 000 субъектов ПДн или ПДн субъектов ПДн, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов ПДн или ПДн субъектов ПДн в пределах конкретной организации.

По категории «количество рабочих станций, входящих в состав ИСПДн» должен быть определен перечень рабочих станций, задействованных в каком-либо качестве в обработке персональных данных в ИСПДн и (или) имеющих незащищенное физическое подключение к ИСПДн.

ИСПД также классифицируются по структуре, по наличию подключений к сетям общего пользования, по режиму обработки ПД, по разграничению прав доступа. Приведенные классификации отображены схематически на рисунке 2.

Рисунок 2 - Классификация ИСПД.

Классификация не является формальной процедурой, так как на основе класса системы будут определены меры и методы защиты персональных данных, которые существенно отличаются друг от друга. Более того, для систем 1-го и 2-го класса лицензирование используемых технических средств защиты является обязательным.

Результат классификации оформляется соответствующим актом оператора.

При классификации информационных систем на практике выявляется множество факторов, которые впоследствии влияют на построение СЗПД. Например, если информационная система хранит фотографии в дополнение к стандартным данным о сотрудниках, таким как полное имя, адрес и номер телефона, это означает, что система обрабатывает биометрические ПДН. А если дата рождения обрабатывается вместе со стандартной информацией, то можно сказать, что ИСПД содержит дополнительную информацию о предмете и отнести его не к 3-му классу, а ко 2-му.

При тщательном анализе на предпроектной стадии построения СЗПД можно оптимизировать некоторые аспекты обработки ПДН. Так, например, если система кадрового учета использует служебный номер сотрудника вместо полного имени, то речь пойдет об обработке обезличенных персональных данных, требования безопасности к которым минимальны. Оптимизация представления данных в системе может повлиять на конструкцию СЗПД и значительно снизить затраты в конечном итоге.

Структурой ИСПДн является:

АРМ, если вся обработка ПДн производится в рамках одного рабочего места;

локальной информационной системой, если вся обработка ПДн производится в рамках одной ЛВС;

распределенной информационной системой, если обработка ПДн производится в рамках комплекса АРМ и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа, т.е. элементы ИСПДн разнесены территориально, например, в ИСПДн включена сеть филиала, и связь между территориально удаленными элементами осуществляется по каналам сетей общего пользования и (или) международного обмена.

Режим обработки персональных данных в ИСПДн может быть однопользовательской, если сотрудник, обрабатывающий персональные данные, совмещает в себе функции администратора (осуществляет настройка и поддержку технических и программных средств) и оператора. Во всех других случаях ИСПДн является многопользовательской.

Если в ИСПДн все пользователи (администраторы, операторы, разработчики) обладают одинаковым набором прав доступа или осуществляют вход под единой учетной записью и вход под другими учетными записями не осуществляется, то эта ИСПДн с равными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей, в противном случае с разными правами доступа (полномочиями) ко всей информации ИСПДн разных пользователей.

Все ИСПДн подразделяются на типовые и специальные. К типовым системам относятся системы, в которых требуется обеспечить только свойство конфиденциальности ПДн. Специальные ИСПДн - ИСПДн, в которых вне зависимости от необходимости обеспечения конфиденциальности ПДн требуется обеспечить хотя бы одну из характеристик безопасности ПДн, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий). Характеристики безопасности задаются по решению оператора. К специальным ИСПДн должны быть отнесены:

ИСПДн, в которых обрабатываются ПДн, касающиеся состояния здоровья субъектов ПДн;

ИСПДн, в которых предусмотрено принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы.

На втором этапе комиссия по результатам анализа исходных данных типовой ИСПДн присваивается один из следующих классов, представленных в таблице 2.

Таблица 2 - Классы информационных систем персональных данных

Тогда, основываясь на Постановление Правительства РФ №1119 от 01.11.2012 г. опишем четыре типа информационных систем персональных данных (ИСПД) в зависимости от категории персональных данных:

ИСПДн-С - информационная система персональных данных, обрабатывающая специальные категории персональных данных, если в ней обрабатываются персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъектов персональных данных.

ИСПДн-Б - информационная система персональных данных, обрабатывающая биометрические персональные данные, если в ней обрабатываются сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных, и не обрабатываются сведения, относящиеся к специальным категориям персональных данных.

ИСПДн-О - информационная система персональных данных, обрабатывающая общедоступные персональные данные, если в ней обрабатываются персональные данные субъектов персональных данных, полученные только из общедоступных источников персональных данных, созданных в соответствии со ст. 8 Федерального закона «О персональных данных».

ИСПДн-И - информационная система персональных данных, обрабатывающая иные категории персональных данных.

В свою очередь, каждая из информационных систем, перечисленных и описанных выше, подразделяется на два типа, в соответствии с абз. 5 ст. 5 Постановления Правительства РФ №1119 от 01.11.2012 г.:

ИСПДн-сотрудников, обрабатывающей персональные данные сотрудников оператора, если в ней обрабатываются персональные данные только указанных сотрудников.

ИСПДн-не сотрудников (в остальных случаях), обрабатывающей персональные данные субъектов персональных данны, не являющихся сотрудниками оператора.

По результатам исходных данных определен класс специального ISPDn на основе частной модели угроз безопасности ПДН.

Как и в случае с моделью PDIS для специальных систем, необходимо определить класс. Классификация специальных систем по аналогии с моделью необходима для того, чтобы в дальнейшем можно было проектировать системы защиты ПДИС, так как в ФСТЭК России защита для любой системы строится на основе их класса и модели угрозы.

В случае разделения состава подсистем ПДИС, каждая из которых является ПДИС, ПДИС в целом отнесена к классу, соответствующему высшему классу составляющих ее подсистем.

Результаты классификации оформляются соответствующим актом оператора по каждому выявленному ПДН (Проект акта).

Акт классификации ИСПДн утверждается председателем классификационной комиссии и подписывается всеми членами комиссии.

Класс ИСПДн может быть пересмотрен:

-по усмотрению оператора, на основании его анализа и оценки Бпдн с учетом особенностей и (или) изменений конкретных ПДН;

-по результатам проведенных мероприятий осуществляется контроль за соблюдением требований по обеспечению сохранности ПДН при их обработке в ИСПДН.

В процессе классификации следует учитывать и, по возможности, использовать следующие инструменты для снижения затрат на создание ISPDn и оптимизации класса ISPDn:

Сегментация. Физическая или логическая сегментация PDIS классов обрабатываемой информации, выделение сегментов сети, в которой осуществляется автоматизированная обработка персональных данных. Эти работы могут быть выполнены путем внедрения МЭ, сертифицированного в соответствии с требованиями ФСТЭК России, в локальную сеть оператора.

Деперсонализация. Внедрение процедуры обезличивания в процесс обработки ПДН значительно упростит задачи защиты ПДН. После выполнения деперсонализации будет защищен только тот каталог, который позволяет выполнить обратное преобразование.

Разделение ПД на части. В этом случае можно уменьшить количество субъектов ПДН, обрабатываемых в ISPDn. Это может быть достигнуто, например, с помощью таблиц перекрестных ссылок в базах данных.

Формулирование требований к поставщикам и разработчикам систем обработки персональных данных. Включение требований к наличию в закупаемых информационных системах средств, обеспечивающих защиту ПДН в соответствии с действующим законодательством, позволит снизить затраты на приобретение дополнительных ПДН.

При обработке персональных данных в информационной системе они должны быть защищены:

-от несанкционированного доступа (в том числе случайного);

-от утечки информации по техническим каналам.

Если при построении частной модели угроз организации выявлено, что возможна утечка акустической речевой информации, визуальной информации, а также угроза утечки информации через ПЭМИН, то необходимо защитить информацию от утечки по техническим каналам.

Чтобы избежать утечки через PEMIN в ISPD класса 1, используются следующие меры:

-использование технических средств в защищенном варианте;

-использование средств защиты информации, прошедших процедуру оценки соответствия в установленном порядке;

-размещение объектов защиты в соответствии с инструкцией по эксплуатации;

-размещение понижающих трансформаторных подстанций электроснабжения и цепей заземления технических средств в пределах охраняемой территории;

-обеспечение изоляции цепей питания технических средств с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

-обеспечение электромагнитной изоляции между линиями связи и другими цепями вспомогательных технических средств и систем, выходящими за пределы охраняемой территории, и информационными цепями, по которым циркулирует охраняемая информация.

В информационных системах класса 2 для обработки информации используется вычислительная техника, отвечающая требованиям национальных стандартов по электромагнитной совместимости, безопасности и эргономическим требованиям к средствам отображения информации, а также санитарным нормам к видеодисплейным терминалам вычислительной техники.

Если в ИСПД используется функция голосового ввода, то звукоизоляция помещений ИСПД, систем вентиляции и кондиционирования этих помещений необходима для того, чтобы исключить возможность прослушивания. Чтобы избежать просмотра ПД, необходимо правильно расположить устройства вывода, например, расположить мониторы подальше от окон или других мест, где потенциальный злоумышленник может получить доступ к ПД.

Для всех классов ИСПД при наличии подключения к сетям общего пользования необходимо применять системы обнаружения вторжения, анализа защищенности и антивирусные средства. Системы обнаружения вторжений строятся с учетом возможностей реализации атак и используют сигнатурные методы, методы обнаружения аномалий или комбинированные методы. Для обнаружения вторжений в ИСПДн 3 и 4 классов рекомендуется использовать системы обнаружения сетевых атак, применяющие методы сигнатурного анализа, 1 и 2 класса - системы, применяющие сигнатурный метод и метод выявления аномалий, так как последний метод является наиболее прогрессивным и позволяет выявить ранее не встречавшиеся нигде атаки. Средства анализа защищенности позволяют найти уязвимости в операционной системе и используемом программном обеспечении, которые могут быть использованы злоумышленником для реализации атаки.

Необходимо отметить, что в отношении ИСПД 4 класса оператор сам решает, какие меры и способы защиты применять для обеспечения безопасности персональных данных.

Основные понятия и назначение модели угроз и модели нарушителя

Для описания угроз безопасности, которым подвержена информационная система, используется Модель угроз безопасности информации. Модель угроз является одним из основополагающих документов при построении системы защиты конкретной информационной системы, так как именно в ней учитываются особенности ИС, используемые в ней программные, программно-технические средства и процессы обработки информации.

Подходя к изучению модели угроз и нарушителя, в первую очередь дадим понятие данным моделям. Итак, модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

Под угрозами безопасности ПДН, обрабатываемых в ИСПДН, понимается совокупность условий и факторов, создающих риск несанкционированного, в том числе случайного доступа к персональным данным, который может повлечь за собой уничтожение, изменение, блокирование, копирование, распространение персональных данных и иные несанкционированные действия при их обработке в информационных системах персональных данных.

Возникновение угроз безопасности может быть связано как с преднамеренными действиями злоумышленников, так и с непреднамеренными действиями персонала или пользователей ИСПД.

Угрозы безопасности могут быть реализованы двумя способами:

-через технические каналы утечки;

-путем несанкционированного доступа.

Обобщенная схема реализации канала угроз ПД показана на рисунке 3.

Рисунок 3- Обобщенная схема канала реализации угроз безопасности персональных данных.

Технический канал утечки информации представляет собой совокупность носителя информации (средства обработки), физической среды распространения информационного сигнала и средств извлечения защищаемой информации. Среда распространения может быть однородной, например, только воздух при распространении электромагнитного излучения, или неоднородной, когда сигнал переходит из одной среды в другую. Носителями ПД могут быть люди, работающие с ИСПД, технические средства, вспомогательные средства и т. д. Главное, чтобы информация отображалась в виде полей, сигналов, изображений, количественных характеристик физических величин.

Как правило, из-за реализации технических каналов утечки выявляются следующие угрозы: информационный данный угроза утечка

-угроза утечки речевой информации. Фактически злоумышленник перехватывает информацию с помощью специального оборудования в виде акустических, виброакустических волн, а также электромагнитного излучения, модулированного акустическим сигналом. В качестве средств могут использоваться различные электронные устройства, подключенные либо к каналам связи, либо к техническим средствам обработки ПДН.

угроза утечки конкретной информации. В данном случае речь идет о прямом просмотре ПД при наличии прямой видимости между устройством наблюдения и носителем ПД. В качестве средств наблюдения используются оптические приборы и видеопланшеты;

-угрозы утечки информации по каналам паразитных электромагнитных излучений и помех (ПЭМИН). Речь идет о перехвате побочных (не связанных с непосредственным функциональным значением элементов ИСПД) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПД техническими средствами ИСПД. Для регистрации ПЭМИН используется оборудование в составе радиоприемников и терминалов восстановления информации. Кроме того, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДН.

Помехи электромагнитного излучения возникают при излучении элементами технических средств ИСПД информативных сигналов при наличии емкостных, индуктивных или гальванических соединений соединительных линий технических средств ИСПД и различных вспомогательных устройств.

Источниками угроз, реализуемых через несанкционированный доступ к базам данных с использованием стандартного или специально разработанного программного обеспечения, являются субъекты, действия которых нарушают правила разграничения доступа к информации, регламентированные в ИСПД.

Эти предметы могут быть:

-незваный гость;

-носитель вредоносного ПО;

-на вкладке Оборудование.

Под нарушителем здесь и далее понимается физическое лицо (лица), случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности ПД при их обработке техническими средствами в информационных системах. С точки зрения наличия права легального доступа в помещения, в которых размещены аппаратные средства, обеспечивающие доступ к ресурсам ИСПД, нарушители подразделяются на два типа:

-нарушители, не имеющие доступа к ИСПД, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, - внешние нарушители;

-нарушители, имеющие доступ к ИСПД, включая пользователей ИСПД, реализующие угрозы непосредственно в ИСПД, - внутренние нарушители.

Для ИСПД, предоставляющих информационные услуги удаленным пользователям, внешними нарушителями могут являться лица, имеющие возможность осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий, алгоритмических или программных закладок через автоматизированные рабочие места, терминальные устройства ИСПД, подключенные к сетям общего пользования.Классификация угроз безопасности персональных данных по способу реализации представлена на рисунке 4.

Рисунок 4- Классификация угроз безопасности персональных данных по способу реализации

В свою очередь, модель безопасности, тесно связанная с моделью угроз, отвечает на общие вопросы и отражает схематично общую структуру модели информационной безопасности, на которой как на стержне строятся остальные модели и концепции информационной безопасности. Для построения модели информационной безопасности, не зависимо от того, насколько простая или сложная информационная система, необходимо как минимум ответить на три вопроса: что защищать, от кого защищать и как защищать? Это обязательный минимум, которого может быть достаточно для небольших информационных систем.

По результатам утверждение класса вводится три типа актуальных угроз безопасности персональным данным - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия (ст. 5):

Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в системном ПО, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием НДВ в прикладном ПО, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием НДВ в системном ПО и прикладном ПО, используемом в информационной системе.

Определение типа угроз безопасности ПДн, актуальных для ИСПДн, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18 Федерального закона «О персональных данных», и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона «О персональных данных» (ст. 7).

Анализ возможностей, которыми может обладать нарушитель, проводится в рамках модели нарушителя. При разработке модели нарушителя зафиксированы следующие положения:

1. Безопасность ПДн в ИСПДн обеспечивается средствами защиты информации ИСПДн, а также используемыми в них информационными технологиями, техническими и программными средствами, удовлетворяющими требованиям по защите информации, устанавливаемым в соответствии с законодательством Российской Федерации;

2. Средства защиты информации (СЗИ) штатно функционируют совместно с техническими и программными средствами, которые способны повлиять на выполнение предъявляемых к СЗИ требований;

3. СЗИ не могут обеспечить защиту ПДн от действий, выполняемых в рамках предоставленных субъекту действий полномочий (например, СЗИ не может обеспечить защиту ПДн от раскрытия лицами, которым предоставлено право на доступ к этим данным).

В свою очередь, внутренний нарушитель (лица категории II) подразделяется на восемь групп в зависимости от способа и полномочий доступа к информационным ресурсам (ИР) ИСПДн, представленных в таблице 3.

Таблица 3 - Классификация внутренних нарушителей

№ группы	Характеристика группы	Полномочия лиц группы
1	Сотрудники предприятий, не являющиеся зарегистрированными пользователями и не допущенные к ИР ИСПДн, но имеющие санкционированный доступ в КЗ. К этой категории нарушителей относятся сотрудники различных структурных подразделений предприятий: энергетики, сантехники, уборщицы, сотрудники охраны и другие лица, обеспечивающие нормальное функционирование объекта информатизации	? располагать именами и вести выявление паролей зарегистрированных пользователей ИСПДн; ? изменять конфигурацию технических средств обработки ПДн, вносить программно-аппаратные закладки в ПТС ИСПДн и обеспечивать съем информации, используя непосредственное подключение к техническим средствам обработки информации.
2	Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ИР ИСПДн с рабочего места. К этой категории относятся сотрудники предприятий, имеющие право доступа к локальным ИР ИСПДн для выполнения своих должностных обязанностей	? обладает всеми возможностями лиц первой категории; ? знает, по меньшей мере, одно легальное имя доступа; ? обладает всеми необходимыми атрибутами (например, паролем), обеспечивающим доступ к ИР ИСПДн; ? располагает ПДн, к которым имеет доступ.
3	Зарегистрированные пользователи подсистем ИСПДн, осуществляющие удаленный доступ к ПДн по локальной или распределенной сети предприятий	? обладает всеми возможностями лиц второй категории; ? располагает информацией о топологии сети ИСПДн и составе технических средств ИСПДн; ? имеет возможность прямого (физического) доступа к отдельным техническим средствам ИСПДн.
4	Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн	? обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте ИСПДн; ? обладает полной информацией о технических средствах и конфигурации сегмента ИСПДн; ? имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте ИСПДн; ? обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента ИСПДн.
5	Зарегистрированные пользователи с полномочиями системного администратора ИСПДн, выполняющего конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства мониторинга, регистрации, архивации, защиты от несанкционированного доступа	? обладает полной информацией о системном, специальном и прикладном ПО, используемом в ИСПДн; ? обладает полной информацией о ТС и конфигурации ИСПДн ? имеет доступ ко всем ТС ИСПДн и данным; ? обладает правами конфигурирования и административной настройки ТС ИСПДн.
6	Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн, отвечающего за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей, криптографическую защиту информации (СКЗИ). Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.	? обладает полной информацией об ИСПДн; ? имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн; ? не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
7	Лица из числа программистов-разработчиков сторонней организации, являющихся поставщиками ПО и лица, обеспечивающие его сопровождение на объекте размещения ИСПДн	? обладает информацией об алгоритмах и программах обработки информации в ИСПДн; ? обладает возможностями внесения ошибок, не декларированных возможностей, программных закладок, вредоносных программ в ПО ИСПДн на стадии его разработки, внедрения и сопровождения.
8	Персонал, обслуживающий ТС ИСПДн, а также лица, обеспечивающие поставку, сопровождение и ремонт ТС ИСПДн	? обладает возможностями внесения закладок в ТС ИСПДн на стадии их разработки, внедрения и сопровождения; ? может располагать фрагментами информации о топологии ИСПДн, автоматизированных рабочих местах, серверах и коммуникационном оборудовании, а также о ТС защиты информации в ИСПДн.

Возможными каналами атак вышеперечисленных нарушителей для доступа к защищаемой информации в ИСПДн, являются:

? каналы непосредственного доступа к объекту (визуально-оптический, акустический, физический);

? электронные носители информации, в том числе съемные, сданные в ремонт и вышедшие из употребления;

? бумажные носители информации;

? штатные программно-аппаратные средства ИСПДн;

? кабельные системы и коммутационное оборудование, расположенные в пределах контролируемой зоны и не защищенные от НСД к информации организационно-техническими мерами;

? незащищенные каналы связи ? ТКУИ.

При определении возможных способов реализации угроз безопасности информации необходимо исходить из следующих условий: