Разработка политики информационной безопасности в Министерстве здравоохранения РФ

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

на тему: Разработка политики информационной безопасности в Министерстве здравоохранения РФ

Список сокращений

ГУ — Государственные учреждения

Иi — Источники угроз безопасности i-ой категории, по классификации ФСТЭК России

ПДн — Персональные данные

ИС — Информационная система

ИСПДн — Информационная система персональных данных

КЗ — Контролируемая зона

КИ — Конфиденциальная информация

ЛВС — Локальная вычислительная сеть

НСД — Несанкционированный доступ к информации

ОС — Операционная система

ПДн — Персональные данные

ПО — Программное обеспечение

ППО — Прикладное программное обеспечение

ПТС — Программно-технические средства

ПЭМИН — Побочные электромагнитные излучения и наводки

СВТ — Средства вычислительной техники

СКЗИ — Средство криптографической защиты информации

СУБД — Система управления базами данных

ТС — Технические средства

УБПДн — Угрозы безопасности персональных данных

ФСБ России — Федеральная служба безопасности Российской Федерации

ФСТЭК России — Федеральная служба по техническому и экспортному контролю

ЦА — Центральный аппарат

ЭП — Электронная подпись

ВТМП — Высокотехнологичная медицинская помощь

ИБ — Информационная безопасность

ИС — Информационная система

Нi - Тип нарушителя по классификации ФСБ России

КОИ — Криптографически опасная информация

Нi - Тип нарушителя по классификации ФСБ России

НСД — Несанкционированный доступ к информации

СФК — Среда функционирования СКЗИ

Введение

Общей целью защиты ПДн является предотвращение или снижение величины ущерба, наносимого субъекту ПДн или оператору ИСПДн вследствие реализации угроз безопасности ПДн.

Данная цель должна быть достигнута путем доработки СЗИ ИАС ЦА МЗРФ до уровня показателей защищенности ИСПДн, предъявляемых к СЗПДн в виде определенной группы технических требований, устанавливаемых в зависимости от актуальных угроз безопасности и класса типовой ИСПДн и направленных на минимизацию ущерба от возможной реализации угроз безопасности ПДн.

Частными целями защиты ПДн, обеспечивающими достижение общей цели по защите ПДн в ИСПДн ИАС ЦА МЗРФ, являются:

— предотвращение несанкционированного уничтожения, искажения, копирования, блокирования ПДн;

— обеспечение целостности и достоверности ПДн в системах обработки. При разработке политики ИБ ИАС МЗСР РФ использовались также следующие документы:

— Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [9];

— Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» [5];

— Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» [6];

— «Отчет об обследовании информационно-аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации"[8];

— «Модель угроз безопасности ПДн для информационно — аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)» [13].

Глава 1

1.1 Структура ИАС ЦА МЗРФ

ИАС ЦА МЗРФ представляет собой иерархическую многопользовательскую гетерогенную автоматизированную систему, состоящую из различных функциональных подсистем.

В состав ИАС ЦА МЗРФ входят следующие системы обработки ПДн:

­ ИС «Информационно-аналитическая система Минздравсоцразвития России» (далее — ИАС МЗСР РФ) включающая в себя:

o подсистему мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета;

o подсистему ведения счетов за оказанные услуги по талонам на оказание ВТМП на основании государственного задания;

o подсистему ведения федерального регистра медицинского персонала;

o подсистему мониторинга проведения диспансеризации детей-сирот и детей, находящихся в трудной жизненной ситуации;

o подсистему мониторинга санаторно-курортного лечения;

o подсистему мониторинга оказания специализированной помощи;

o подсистему ведения федерального регистра больных социально значимыми заболеваниями;

­ Единая информационная система государственной гражданской службы Минздравсоцразвития России (далее ЕИС ГС МЗСР РФ) включающая в себя:

o ИС «Программный комплекс по формированию, размещению и исполнению государственного заказа на профессиональную переподготовку, повышение квалификации и стажировку федеральных государственных гражданских служащих» (далее — ППГС);

o ИС «Система мониторинга предоставления государственным гражданским служащим единовременной субсидии на приобретение жилого помещения (далее — ИС ЖС);

­ АИС «Учет кадров»;

­ ИС «Удостоверяющий центр электронной цифровой подписи автоматизированных информационных систем единого информационного пространства Министерства здравоохранения и социального развития Российской Федерации» (далее — АС «АС-К»);

­ ИС «Учет и контроль исполнения документов»;

­ АИС «1С Зарплата и Кадры»;

­ АС «ИНВИТА»;

­ ПИК МЗРФ.

Для формирования более полного представления о ИАС ЦА МЗРФ рассмотрим каждую функциональную подсистему в отдельности.

1.1.1 ИС «Информационно-аналитическая система Министерства здравоохранения России»

ИАС МЗРФ представляет собой локальную вычислительную сеть, подключенную к сетям международного информационного обмена. В состав ЛВС входят сервера баз данных, а так же вэб-сервера, посредством которых пользователи получают доступ к ИАС МЗСР РФ.

1.1.2 Задачи и функции ИАС ЦА МЗРФ

Целью создания ИАС МЗСР РФ являются: сбор, обработка и анализ данных в сфере здравоохранения с использованием современных информационных технологий обработки и анализа данных с целью осуществления информационно-аналитической поддержки принятия решений.

Назначение данной системы — автоматизация процессов сбора, обработки и анализа данных в сфере здравоохранения.

Область применения: создание единого централизованного информационного хранилища показателей мониторинга сферы здравоохранения.

Основными функциями ИАС МЗСР РФ являются:

­ хранение, ввод и логический контроль информации о состоянии здравоохранения и социального развития;

­ визуальное представление показателей здравоохранения и социального развития;

­ формирование регламентной и нерегламентной отчетности о процессах развития здравоохранения и социальной сферы;

­ информационно-аналитическая поддержка процессов мониторинга ключевых показателей в сфере здравоохранения и социального развития Российской Федерации и ее субъектов;

­ информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, миелолейкозом, рассеянным склерозом, а также после трансплантации органов и (или) тканей;

­ информационно-аналитическая поддержка процессов мониторинга субсидий из федерального бюджета на софинансирование объектов капитального строительства в субъектах Российской Федерации;

­ информационно-аналитическая поддержка процессов мониторинга реализации государственного задания по оказанию высокотехнологичной медицинской помощи за счет средств федерального бюджета;

­ информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра медицинского персонала; информационно-аналитическая поддержка процессов сбора, обработки и хранения информации федерального регистра стационарного больного с острым нарушением мозгового кровообращения;

­ информационно-аналитическая поддержка процессов сбора, обработки и хранения информации по индикаторам ФЦП и финансовым показателям софинансирования ФЦП за счет средств бюджетов субъектов Российской Федерации;

­ хранение, обработка и передача персональных данных;

­ администрирование прав пользователей системы;

­ обеспечение информационной безопасности.

1.1.3 Описание технологического процесса обработки ПДн

В ИАС ЦА МЗРФ обрабатываются персональные данные субъектов, обращающихся за медицинской помощью в медицинские учреждения различных уровней, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, в том числе информацию о состоянии здоровья, а также данные работников сферы здравоохранения, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию.

Пользователи на рабочих местах, находящихся в медицинских учреждениях различных уровней, осуществляют ручной ввод/чтение данных посредством веб-интерфейса, доступ к которому они осуществляют по технологии «тонкого» клиента. Данные передаются по общедоступным каналам связи (сети Internet) на сервера баз данных, находящихся в ЦА МЗРФ. Защита данных при передаче обеспечивается криптографическими преобразованиями в рамках протокола SSL на базе алгоритма ГОСТ 28 147–89. Для идентификации и аутентификации на веб-сервере пользователи используют сертификаты и закрытые ключи выданные им в У Ц Минздравсоцразвития.

Информация хранится на серверах в базах данных. Срок хранения данных не определен.

В рамках своих полномочий, пользователи имеют права на чтение/изменение/ удаление данных, размещенных в федеральной базе.

Разграничение доступа пользователей к базе осуществляется на уровне СУБД.

ПДн, обрабатываемые в ИАС ЦА МЗРФ используются внутри МЗРФ и подчиненных ему организаций и не передаются третьим лицам (организациям).

1.1.4 Перечень обрабатываемых ПДн

В модулях ИАС ЦА МЗРФ обрабатываются персональные данные двух групп субъектов ПДн: данные медицинских работников и данные граждан, обращающихся за медицинской помощью в медицинские учреждения различных уровней.

В состав обрабатываемых в ИАС ЦА МЗРФ данных входят:

­ фамилия, имя, отчество;

­ дата рождения;

­ место рождения;

­ место регистрации;

­ информация о гражданстве;

­ серия и номер паспорта;

­ кем и когда выдан паспорт;

­ ИНН;

­ номер карточки пенсионного страхования;

­ сведения о полисе обязательного медицинского страхования;

­ информация о семейном положении;

­ информация об образовании (когда, какое учебное заведение окончил);

­ информация о трудовой деятельности;

­ информация о состоянии здоровья.

1.1.5 Пользователи допущенные к обработке ПДн

К обработке ПДн в ИАС ЦА МЗРФдопущены:

­ работники медицинских учреждений, различных уровней, в рамках своих должностных обязанностей;

­ сотрудники Департамента развития фармацевтического рынка и рынка медицинской техники МЗРФ;

­ сотрудники Департамента высокотехнологичной медицинской помощи МЗРФ;

­ сотрудники Департамента образования и развития кадровых ресурсов МЗРФ;

­ сотрудники Департамента организации медицинской профилактики, медицинской помощи и развития здравоохранения МЗРФ;

­ сотрудники Департамента развития медицинской помощи детям и службы родовспоможения МЗРФ;

­ сотрудники Департамента охраны здоровья и санитарно-эпидемиологического благополучия человека МЗРФ.

Полный перечень сотрудников представлен в Приложении 1.

Характеристики ИСПДн

В ходе проведения аналитического обследования ИАС ЦА МЗРФ специалистами Исполнителя совместно со специалистами Заказчика было установлено:

­ в ИАС ЦА МЗРФ обрабатываются персональные данные (Данные, указанные в пункте 6.2.1. 3, согласно п. 1 ст.3 п. 1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» являются персональными данными и подлежат защите), следовательно ИАС ЦА МЗРФ является ИСПДн;

­ в ИСПДн обрабатываются персональные данные, которые помимо идентификации субъекта ПДн, позволяют получить о нем дополнительную информацию, в том числе данные о состоянии здоровья. Согласно Совместного приказа Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» такие ПДн относятся к 1-й категории ПДн;

­ в ИАС ЦА МЗРФ одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных;

­ по структуре ИСПДн является распределенной с использованием технологии удаленного доступа;

­ по наличию подключений к сетям информационного международного обмена, ИСПДн относится к категории систем, имеющих подключения.

­ по режиму обработки информации (ПДн), ИСПДн относится к категории многопользовательских.

­ по разграничению прав доступа в системе, ИАС ЦА МЗРФ относится к системам с разграничением прав доступа.

­ в ИСПДн осуществляется автоматизированная обработка ПДн.

­ ИСПДн является специальной (дополнительно требуется обеспечение целостности и доступности ПДн).

1.2 Перечень подсистем, их назначение и основные характеристики

В соответствии с «Моделью угроз безопасности ПДн для информационно — аналитической системы Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации (ИАС ЦА МЗРФ)», «Положением о методах и способах защиты информации в информационных системах персональных данных», а также «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации» мероприятия по обеспечению безопасности ПДн при их обработке в ИСПДн реализуются в рамках следующих подсистем СЗПДн ИАС ЦА МЗРФ:

­ управления доступом;

­ регистрации и учета;

­ обеспечения целостности;

­ антивирусной защиты;

­ криптографической защиты.

Также, в соответствии с «Положением о методах и способах защиты информации в информационных системах персональных данных» должны проводиться мероприятия по:

­ обнаружению вторжений в информационную систему, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных;

­ анализу защищенности информационных систем, предполагающему применение специализированных программных средств;

­ обеспечению безопасного межсетевого взаимодействия ИСПДн.

1.2.1 Подсистема управления доступом, её назначение и основные характеристики

Согласно «Положению о методах и способах защиты информации в информационных системах персональных данных» подсистема управления доступом в СЗПДн предназначена для выполнения функций защиты самостоятельно или в комплексе с другими СрЗИ, направленных на исключение или затруднение несанкционированного доступа к ИСПДн.

Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.

Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.

1.2.2 Подсистема регистрации и учета, её назначение и основные характеристики

Подсистема регистрации и учета предназначена для фиксирования событий, происходящих в ИСПДн.

Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований, заданных в таблице 1.

Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.

1.2.3 Подсистема обеспечения целостности, её назначение и основные характеристики

Подсистема обеспечения целостности предназначена для осуществления контроля целостности программных средств системы защиты ПДн и неизменности программной среды.

Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.

Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.

1.2.4 Требования к обеспечению безопасного межсетевого взаимодействия, назначению и основным характеристикам

Обеспечение безопасного межсетевого взаимодействия осуществляется путем применения МЭ, предназначенных для разграничения доступа, получаемого к ресурсам ИСПДн по каналам связи.

Реализуемые в СЗПДн характеристики подсистемы должны быть предложены на стадии технического проектирования в соответствии с группой требований.

Техническое решение по реализации данных требований должно исключать дублирование функций безопасности, реализованных в соответствующих сегментах действующей СЗИ ИАС ЦА МЗРФ и отвечающих требованиям нормативных документов к СрЗПДн.

Глава 2

2. 1 Модель нарушителя

В соответствии с п. 2 Положения [6] безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

Характеристики ИСПДн ИАС ЦА МЗРФ, защищаемые ресурсы ИСПДн ИАС ЦА МЗРФ, угрозы утечки ПДн по техническим каналам, угрозы НСД к информации ИСПДн ИАС ЦА МЗРФ рассмотрены в «Модели угроз безопасности персональных данных при их обработке в «Информационно-аналитической системе Центрального аппарата Министерства здравоохранения и социального развития Российской Федерации"[13].

Основываясь на полученных данных с учетом методических рекомендаций ФСБ России [3], Положения ПКЗ-2005 [11] и Типовых требований [12] необходимо уточнить возможности нарушителей при обеспечении с помощью криптосредств безопасности ПДн при их обработке в ИСПДн ИАС ЦА МЗРФ.

Нарушитель может действовать на различных этапах жизненного цикла информационных ресурсов, средств защиты информации, криптосредств (СКЗИ) и СФК, используемых в ИСПДн. Под этими этапами в настоящем документе понимаются этапы разработки указанных средств, их производства, хранения, транспортировки, ввода в эксплуатацию, эксплуатации.

2.2 Этапы разработки, производства, хранения, транспортировки и ввода в эксплуатацию технических и программных СКЗИ и СФК

На этапах разработки, производства, хранения, транспортировки и ввода в эксплуатацию используемых в ИСПДн ИАС ЦА МЗРФ технических и программных СКЗИ и СФК, обработка персональных данных не производится. Поэтому объектами угроз и атак на этих этапах являются только сами эти средства и документация на них.

Обеспечение безопасности указанных объектов достигается путем использования организационно — технических мер защиты и проведением обязательных проверок во время ввода в эксплуатацию криптосредств и СФК на соответствие эталонным образцам и заданным алгоритмам функционирования.

Средства криптографической защиты (криптосредства), используемые для обеспечения безопасности персональных данных при их обработке в информационных системах, должны в установленном порядке получить подтверждение соответствия требованиям ФСБ России

2.3 Этап эксплуатации технических и программных СКЗИ и СФК

На данном этапе защита от угроз безопасности, не являющихся атаками, как правило, регламентируется различного рода инструкциями и положениями (разработанными с учетом особенностей эксплуатации ИС и действующей нормативной базы), в которых описываются регламенты действий должностных лиц, допущенных к работе с ИСПДн. При этом возникновение угроз в большинстве случаев связано с ошибочными действиями или нарушениями тех или иных требований указанными лицами. Возможными объектами атак в ИСПДн являются следующие объекты:

­ документация на криптосредство и на аппаратные и программные компоненты криптосредства и СФК;

­ защищаемые персональные данные;

­ ключевая, аутентифицирующая и парольная информация криптосредства и СФК;

­ криптографически опасная информация (КОИ);

­ средства защиты информации (программные и аппаратные компоненты средств защиты информации);

­ криптосредство (программные и аппаратные компоненты криптосредства);

­ аппаратные и программные компоненты СФК;

­ настроечные и конфигурационные параметры криптосредства и СФК;

­ данные, передаваемые по каналам связи;

­ помещения, в которых находятся защищаемые ресурсы информационной системы.

При передаче ПДн по каналам связи они должны быть защищены с использованием криптосредств или для их передачи должны использоваться защищенные каналы связи. Должна осуществляться защита информации, записываемой на отчуждаемые носители (магнитные, магнито-оптические, оптические, карты флэш-памяти и т. п.).

2.4 Описание нарушителей (субъектов атак)

Под нарушителем (субъектом атак) ИСПДн понимается лицо (или инициируемый им процесс), проводящее (проводящий) атаку.

В случае передачи данных из (в) сторонней (ую) организации (ю) только с использованием бумажных носителей, сотрудники этой организации не могут воздействовать на технические и программные средства ИСПДн ИАС ЦА МЗРФ и поэтому в настоящем документе не могут рассматриваться в качестве потенциальных нарушителей.

Все остальные физические лица, имеющие доступ к техническим и программным средствам ИСПДн ИАС ЦА МЗРФ, могут быть отнесены к следующим категориям:

— категория I — лица, не имеющие права доступа в КЗ и осуществляющие доступ к ресурсам ИСПДн ИАС ЦА МЗРФ из-за пределов КЗ;

— категория II — лица, имеющие право постоянного или разового доступа в КЗ ИСПДн ИАС ЦА МЗРФ.

К контролируемой зоне (КЗ) относятся все объекты и помещения, в которых размещаются части ИСПДн:

— помещения, в которых располагаются СВТ ИСПДн (серверы БД, серверы приложений и пр.) и проходят линии связи;

— помещения подразделений, в которых располагаются СВТ ИСПДн (АРМ пользователей, сетевое оборудование).

Все помещения, где располагаются серверы БД и приложений, сетевое оборудование, АРМ пользователей) оборудованы системой контроля доступа, системами охранной и пожарной сигнализации, системой кондиционирования воздуха, а также системой бесперебойного питания.

Таким образом, несанкционированное присутствие посторонних лиц в данных помещениях и доступ их к СВТ исключается.

В соответствии с «Методическими рекомендациями…» [3] все потенциальные нарушители подразделяются на два типа:

— внешние нарушители — нарушители, осуществляющие атаки из-за пределов контролируемой зоны ИСПДн;

— внутренние нарушители — нарушители, осуществляющие атаки, находясь в пределах контролируемой зоны ИСПДн.

Предполагается, что:

— внешними нарушителями могут быть как лица категории I, так и лица категории II;

— внутренними нарушителями могут быть только лица категории II.

Возможности потенциальных нарушителей ИСПДн ИАС ЦА МЗРФ существенно зависят от реализованной в ИАС ЦА МЗРФ политики безопасности и принятыми режимными, организационно-техническими и техническими мерами по обеспечению безопасности.

Внешний нарушитель не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн.

Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.

Внутренними нарушителями могут быть следующие лица:

— лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн;

— санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн;

— зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе;

— зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн;

— зарегистрированные пользователи ИСПДн с полномочиями системного администратора;

— зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн; программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн; разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн.

Санкционированные пользователи ИСПДн осуществляют ограниченный доступ к ресурсам ИСПДн со своего рабочего места. Порядок предоставления ограниченного доступа определяется правилами (регламентами) доступа к защищаемой информации. Данная категория лиц рассматривается в качестве потенциальных нарушителей.

Удаленные зарегистрированные пользователи ИСПДн осуществляют ограниченный (в соответствии с заданной ролью) доступ к ресурсам ИСПДн по технологии удаленного доступа, и могут рассматриваться в качестве потенциальных нарушителей.

Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются.

Зарегистрированные пользователи ИСПДн с полномочиями системного администратора ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются.

Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн являются привилегированными пользователями ИСПДн, назначаются из числа особо проверенных и доверенных лиц, осуществляют свои функциональные обязанности в соответствии с заданной ролью и в качестве нарушителей не рассматриваются. Программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. Порядок доступа к техническим средствам и информационным ресурсам ИСПДн лицами данной категории регламентируется внутренними нормативными документами по обеспечению безопасности функционирования информационной системы и ПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей.

Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. Порядок доступа к техническим средствам ИСПДн лицами данной категории регламентируется внутренними нормативными документами по обеспечению технических средств и информационных ресурсов ИСПДн. Лица данной категории имеют доступ в КЗ только в сопровождении зарегистрированных пользователей ИСПДн с полномочиями администратора безопасности ИСПДн, и тем не менее рассматриваются в качестве потенциальных нарушителей.

2.4 Предположения об имеющейся у нарушителя информации об объектах атак

Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ:

— не располагает всей технической документацией на аппаратные и программные компоненты СФК;

— не располагает всей технической документацией на криптосредство, включая исходные тексты ПО, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами;

— не располагает всеми данными об организации работы, линиях связи, структуре и используемом оборудовании ИСПДн в объеме, что определяется реализованной в ИСПДн ИАС ЦА МЗРФ политикой безопасности, режимными и организационно-техническими мерами;

— располагает всеми возможными данными, передаваемыми в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами;

— располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;

— располагает всеми проявляющимися в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправностями и сбоями технических средств криптосредства и СФК;

— располагает сведениями, получаемыми в результате анализа сигналов от технических средств криптосредства и СФК, которые может перехватить нарушитель.

Таблица 1 — Ограничения на имеющуюся у нарушителя информацию об объектах

№ п/п

Информация

Ограничение и обоснование

1

Содержание технической документации на технические и программные компоненты СФК.

Доступна только информация, находящаяся в свободном доступе.

Обоснование: в ИСПДн ограничен доступ к такой информации (она доступна только привилегированным пользователям).

2

Долговременные ключи криптосредства.

Сведения недоступны.

Обоснование: криптосредства не используют долговременные ключи.

3

Все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т. п.)

Доступны в каналах связи незащищенных о НСД к информации.

4

Сведения о линиях связи, по которым передается защищаемая информация:

линии связи, проходящие в КЗ

линии связи, проходящие за пределами КЗ.

Потенциальному нарушителю могут быть доступны следующие сведения о линиях связи проходящих в КЗ и за ее пределами:

общая информация об архитектуре ЛВС;

информация о типах используемого оборудования и кабелей.

Более детальная информация о линиях связи нарушителю недоступна.

Обоснование: в ИСПДн ограничен доступ к такой информации (она доступна только привилегированным пользователям).

5

Все сети связи, работающие на едином ключе.

Сведения недоступны.

Обоснование: архитектура подсистемы криптографической защиты исключает такую возможность. Для шифрования отдельных информационных потоков используются индивидуальные ключи.

6

Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК.

Доступны в каналах связи, незащищенных от НСД к информации.

7

Проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических средств криптосредства и СФК.

Доступны в каналах связи, незащищенных от НСД к информации.

8

Сведения, получаемые в результате анализа любых побочных сигналов от технических средств криптосредства.

Могут быть доступны.

9

Исходные тексты прикладного программного обеспечения ИС.

Недоступны.

Обоснование: в ИСПДн используется проприетарное ППО с закрытым исходным кодом.

2.5 Предположения об имеющихся у нарушителя средствах атак

Состав и характеристики имеющихся у нарушителя средствах атак существенно зависят как от имеющихся у него возможностей по приобретению или разработке указанных средств, так и от реализованной в ИСПДн ИАС ЦА МЗРФ политики безопасности.

Предполагается, что потенциальный нарушитель ИСПДн ИАС ЦА МЗРФ:

— может использовать штатные средства в случае их расположения как вне, так и в пределах контролируемой зоны;

— располагает только доступными в свободной продаже аппаратными компонентами криптосредств и СФК и за счет реализованных в ИСПД организационных мер не имеет дополнительных возможностей по их получению;

— не может организовывать или заказывать работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК;

— может самостоятельно и в одиночку осуществлять освоение способов, подготовку и проведение атак (т.е. отсутствует сговор нарушителей);

— не может проводить лабораторные исследования криптосредств.

2.6 Описание каналов атак

Основными каналами атак потенциальных нарушителей ИСПДн являются:

— акустический канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах только в случае ведения разговоров специалистами ИСПДн (как внутри, так и вне КЗ) на данную тематику;

— визуальный канал, который может позволить получить сведения об используемых для защиты ПДн криптосредствах путем просматривания документированной и отображаемой на технических средствах информации;

— физический доступ к документации и в помещения, в которых расположены используемые для защиты ПДн криптосредства и СФК;

— штатные средства обработки информации;

— машинные носители информации (как используемые, так и выведенные из употребления, но не уничтоженные);

— технические каналы утечки информации по побочному электромагнитному излучению и наводкам;

— каналы связи, не защищенные от НСД к информации организационно-техническими мерами:

1. каналы связи, расположенные внутри КЗ, могут стать объектом атак внутреннего нарушителя;

2. каналы связи сети Интернет располагаются за пределами КЗ и могут стать объектом атак внешнего нарушителя;

3. выделенный канал связи между сегментами сети Минздравсоцразвития, расположенными по адресам ул. Ильинка д. 21 и Рахмановский пер. д. 3/25, выходит за пределы КЗ и может стать объектом атак внешнего нарушителя.

2.7 Определение типа нарушителя ИСПДн ИАС ЦА МЗРФ

информационный криптографический защита несанкционированный

Внешний нарушитель не имеет доступа к техническим и программным средствам ИСПДн, находящимся в КЗ, и самостоятельно осуществляет создание методов и средств реализации атак, а также самостоятельно выполняет эти атаки.

Внутренний нарушитель, не являющийся пользователем ИСПДн, имеет право периодического или разового доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение. Внутренний нарушитель, являющийся пользователем ИСПДн, имеет право доступа в КЗ, где расположены средства вычислительной техники, на которых реализованы криптосредства и СФК, и самостоятельно осуществляет создание способов атак, подготовку и их проведение.

В результате рассмотренных предположений о доступных каналах и способах получения информации нарушителем, которые он может использовать для разработки и проведения атак и в соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» предполагаем, что возможности внутреннего нарушителя соответствуют возможностям нарушителя типа Н3.

Однако, необходимо сделать вывод, что благодаря комплексу организационно-технических мероприятий:

— наличие физической охраны;

— наличие СКУД в помещениях серверных;

— наличие комплексной системы управления и мониторинга сетевых инфраструктур, а также системы управления политиками сетевой безопасности на базе комплекса Juniper, а также других мероприятий описанных в п. 3;

возможности внутреннего нарушителя существенно ограничиваются и не превышают возможностей нарушителя типа Н1.

Учитывая, что в качестве внешнего нарушителя может действовать бывший сотрудник Министерства, обладающий сведениями о структуре и других характеристиках сети, а также характера информации, передаваемой по каналам связи, предполагается, что возможности внешнего нарушителя аналогичны соответствующим возможностям нарушителя типа Н3 (за исключением возможностей, предоставляемых пребыванием в момент атаки в контролируемой зоне).

2.8 Уровень криптографической защиты ПДн в ИСПДн

В соответствии с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» уровень криптографической защиты персональных данных, обеспечиваемый криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.

Для защиты от внутреннего нарушителя типа Н1, внутри контролируемой зоны требуется применение СКЗИ, соответствующих требованиям ФСБ России по классу не ниже КС1.

Для защиты от внешнего нарушителя типа Н3, на границах контролируемой зоны требуется применение СКЗИ соответствующих требованиям ФСБ России по классу не ниже КС3.

При обработке ПДн в ИСПДн возможно возникновение угроз безопасности персональных данных (УБПДн) за счет реализации следующих каналов утечки информации:

­ угрозы утечки акустической (речевой) информации;

­ угрозы утечки видовой (визуальной) информации;

­ угрозы утечки информации по каналам ПЭМИН [2].

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн при обработке ПДн в ИСПДн, обусловлено наличием функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

В ИАС ЦА МЗРФ данный канал является неактуальным, поскольку в ИСПДн функции голосового ввода ПДн или функции воспроизведения ПДн акустическими средствами отсутствуют. Источником угроз утечки видовой (визуальной) информации являются физические лица, не имеющие санкционированного доступа к информации ИСПДн, а также технические средства просмотра, внедренные в служебные помещения или скрытно используемые данными физическими лицами.

Угрозы утечки видовой (визуальной) информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения СВТ, входящих в состав ИСПДн.

Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между указанными физическими лицами или средствами наблюдения и техническими средствами ИСПДн, на которых визуально отображаются ПДн.

Перехват ПДн в ИСПДн может вестись физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них с помощью портативной носимой аппаратурой (портативные фото и видеокамеры и т. п.), возимой или стационарной аппаратурой, а также путем непосредственного личного наблюдения в служебных помещениях или при помощи технических средств просмотра, скрытно внедренных в служебные помещения.

Данный канал является актуальным для ИАС ЦА МЗРФ, поскольку за счет его реализации возможно возникновение угроз безопасности персональных данных.

Источником угроз утечки информации по каналам ПЭМИН являются физические лица, не имеющие доступа к ИСПДн.

Возникновение угрозы утечки ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.

Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы КЗ в зависимости от мощности излучений и размеров ИСПДн.

Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн, путем использования аппаратуры в составе радиоприемных устройств, предназначенной для восстановления информации. Кроме этого, перехват ПЭМИН возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки ПДн («аппаратурные закладки»).

Учитывая техническую сложность регистрации ПЭМИН, затраты, связанные с перехватом и выделением информативных сигналов, существенно превосходят затраты, связанные с получением ПДн иными способами. По этой причине предполагается, что утечка информации по каналампобочных электромагнитных излучения и наводок невозможна.

Для ИАС ЦА МЗРФ рассматриваются следующие типы угроз НСД с применением программных и программно-аппаратных средств, которые реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (несанкционированное копирование и (или) распространение), целостности (несанкционированное уничтожение или изменение) и доступности (несанкционированное блокирование) ПДн:

­ угрозы несанкционированного доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);

­ угрозы перехвата информации, передаваемой по каналам связи;

­ угрозы создания нештатных режимов работы программных (программно-аппаратных средств) за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т. п. ;

­ угрозы внедрения вредоносных программ (программно-математического воздействия).

Кроме того, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для НСД в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа.

Источниками угроз НСД в ИСПДн могут быть:

­ нарушитель;

­ носитель вредоносной программы;

­ аппаратная закладка [2].

По наличию права постоянного или разового доступа в контролируемые зоны (КЗ) нарушители ИСПДн подразделяются на два типа:

­ внешние нарушители — нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из-за пределов КЗ;

­ внутренние нарушители — нарушители, имеющие доступ в КЗ к ИСПДн, включая пользователей ИСПДн.

Возможности внешних и внутренних нарушителей существенным образом зависят от действующих в пределах КЗ режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внешний нарушитель (далее для удобства обозначения И0) не имеет непосредственного доступа к системам и ресурсам ИСПДн, находящимся в пределах КЗ. К нарушителю данного типа можно отнести физических лиц или организации, осуществляющие атаки с целью добывания ПДн, навязывания ложной информации, нарушения работоспособности ИСПДн, нарушения целостности ПДн.

Внутренними нарушителями являются лица, имеющие доступ в КЗ и к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.

Внутренние потенциальные нарушители в ИСПДн по классификации ФСТЭК России [2] подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К первой категории (далее И1) относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн — обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИСПДн, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИСПДн.

Ко второй категории внутренних потенциальных нарушителей (далее И2) относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места — санкционированные пользователи ИСПДн, которые занимаются обработкой ПДн. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ.

К третьей категории внутренних потенциальных нарушителей (далее И3) относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по распределенной информационной системе. К этой категории нарушителей относятся зарегистрированные пользователи ИАС ЦА МЗРФ, осуществляющие удаленный доступ к ПДн.

К четвертой категории внутренних потенциальных нарушителей (далее И4) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями администратора безопасности сегмента (фрагмента) ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителичетвертой категории в ИАС ЦА МЗРФ отсутствуют.

К пятой категории внутренних потенциальных нарушителей (далее И5) относятся зарегистрированные пользователи ИСПДн с полномочиями системного администратора. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями системного администратора ИСПДн являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителипятой категории в ИАС ЦА МЗРФ отсутствуют.

К шестой категории внутренних потенциальных нарушителей (далее И6) относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности ИСПДн. Зарегистрированные пользователи ИАС ЦА МЗРФ с полномочиями администратора безопасности ИАС ЦА МЗРФ являются доверенными лицами и в качестве нарушителей не рассматриваются. Поэтому внутренние потенциальные нарушителишестой категории в ИАС ЦА МЗРФ отсутствуют.

К седьмой категории внутренних потенциальных нарушителей (далее И7) относятся программисты-разработчики (поставщики) прикладного программного обеспечения (ППО) и лица, обеспечивающие его сопровождение в ИСПДн. К внутренним потенциальным нарушителям седьмой категории в ИАС ЦА МЗРФ можно отнести программистов-разработчиков, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону.

К восьмой категории внутренних потенциальных нарушителей (далее И8) относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн. К внутренним потенциальным нарушителям восьмой категории в ИАС ЦА МЗРФ можно отнести сотрудников, не являющихся санкционированными пользователями ИАС ЦА МЗРФ, но имеющих разовый доступ в контролируемую зону, а также сотрудников сторонних организаций, осуществляющих сопровождение технических средств ИАС ЦА МЗРФ. На основании изложенного, в качестве источников угроз НСД в ИАС ЦА МЗРФ необходимо рассматривать следующих нарушителей:

­ внешнего нарушителя И0;

­ внутреннего нарушителя И1, имеющего санкционированный доступ к ИАС ЦА МЗРФ, но не имеющего доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИАС ЦА МЗРФ — обслуживающий персонал, проводящий работы в помещениях, в которых размещаются технические средства ИАС ЦА МЗРФ, сотрудники, имеющие доступ в помещения, в которых размещаются технические средства ИАС ЦА МЗРФ;

­ внутреннего нарушителя И2, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн с рабочего места — санкционированный пользователь ИСПДн, который занимается обработкой ПДн;

­ внутреннего нарушителя И3, являющегося зарегистрированным пользователем ИСПДн и осуществляющего ограниченный доступ к ресурсам ИСПДн по технологии удаленного доступа — санкционированный пользователь ИСПДн, который занимается обработкой ПДн.

­ внутреннего нарушителя И7, являющегося программистом-разработчиком (поставщиком) ППО или лицом, обеспечивающим сопровождение ППО в ИАС ЦА МЗРФ;

­ внутреннего нарушителя И8, являющегося разработчиком или лицом, обеспечивающим поставку, сопровождение и ремонт технических средств в ИАС ЦА МЗРФ.

Указанные категории нарушителей должны учитываться при оценке возможностей реализации источников угроз НСД в ИАС ЦА МЗРФ.

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются: отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т. п. ;

­ встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок — видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т. п., микросхемы прямого доступа к памяти шин передачи данных, портов ввода-вывода);

­ микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т. п.).

Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:

­ пакеты передаваемых по компьютерной сети сообщений;

­ файлы (текстовые, графические, исполняемые и т. д.).

Аппаратные закладки могут быть конструктивно встроенными и автономными.

Конструктивно встроенные аппаратные закладки создаются в ходе проектирования и разработки аппаратного обеспечения, применяемого в ИСПДн и могут проявляться в виде недекларированных возможностей различных элементов вычислительной системы.

Автономные аппаратные закладки являются законченными устройствами, выполняющими определенные деструктивные функции: перехват, накопление, ввод/вывод информации и т. д.

Учитывая, что аппаратные закладки представляют собой некоторый элемент технических средств (ТС), скрытно внедряемый или подключаемый к ИС и обеспечивающий при определенных условиях реализацию несанкционированного доступа или непосредственное выполнение некоторых деструктивных действий, в них, как правило, содержатся микрокоманды, обеспечивающие взаимодействие закладки с программно-техническими средствами ИС.

Аппаратные закладки могут реализовать угрозы:

­ сбора и накопления ПДн, обрабатываемых и хранимых в ИСПДн;

­ формирования технических каналов утечки (акустический, оптический, побочных электромагнитных излучений и наводок — ПЭМИН) с возможной обработкой информации, в том числе и стеганографическими методами, и передачей ее за пределы КЗ (на внешних машинных носителях информации).

В силу отмеченных свойств аппаратных закладок эффективная защита от них может быть обеспечена за счет учета их специфики и соответствующей организации технической защиты информации на всех стадиях (этапах) жизненного цикла ИСПДн.

ПоказатьСвернуть
Заполнить форму текущей работой