Пояснительная записка (1210027), страница 6
Текст из файла (страница 6)
С учетом номера максимально выбранной обобщенной возможности атак с номером 3 в таблице 1.19, соответствующего максимально выбранной обобщенной возможности источников атак в соответствии с таблицей 1.20 был отобран перечень уточненных возможностей нарушителей и направлений атак (соответствующих актуальным угрозам), которые должны быть рассмотрены для информационной системы Лечебного учреждения (по данным таблицы 1.21).
В данном случае актуальность относительно информационной системы Лечебного учреждения требуется определить для угроз из диапазона от 1.1 до 2.2.
Таблица 1.20 – Порядок определения уточненных возможностей нарушителей и направлений атак в соответствии с выбранным номером обобщенной возможности источников атак
| Максимальный номер выбранной обобщенной возможности источников атак | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | |
| Диапазон, из которого выбирается хотя бы одна актуальная угроза | Неактуальные | |
| 1 | - | от 1.1 до 4.3 |
| 2 | от 1.1 до 1.4 | от 2.1 до 4.3 |
| 3 | от 1.1 до 2.2 | от 3.1 до 4.3 |
| 4 | Данная возможность была рассмотрена в ходе определения возможностей нарушителей по реализации угроз утечки информации, обрабатываемой техническими средствами приема, обработки, хранения и передачи информации | |
| 5 | от 1.1 до 3.3 | от 4.1 до 4.3 |
| 6 | Все уточненные возможности от 1.1 до 4.3 признаются актуальными. Отсутствие актуальных угроз в данном случае не обосновывается. | |
Таблица 1.21 – Определение уточненных возможностей источников атак в соответствии с выбранным номером обобщенной возможности источников атак
| № угрозы | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Да/нет |
| 1.1 | проведение атаки при нахождении в пределах контролируемой зоны | не актуально |
| 1.2 | проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты СФ; - помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ; | не актуально |
| Окончание таблицы 1.21 | ||
| № угрозы | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Да/нет |
| 1.3 | получение в рамках предоставленных полномочий, а также в результате наблюдений следующей информации: - сведений о физических мерах защиты объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по обеспечению контролируемой зоны объектов, в которых размещены ресурсы информационной системы; - сведений о мерах по разграничению доступа в помещения, в которых находятся СВТ, на которых реализованы СКЗИ и СФ; | не актуально |
Выбор актуальных и обоснование неактуальных УБИ.
Выбор актуальных и обоснование неактуальных угроз безопасности информации основывается на результатах экспертных оценок, в соответствии с которыми для информационной системы Лечебного учреждения актуальны/неактуальны угрозы, представленные в таблице 1.22.
Таблица 1.22 – Выбор актуальных и обоснование неактуальных угроз безопасности информации для информационной системы Лечебного учреждения
| № угрозы | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) для построения и реализации атак | Обоснование отсутствия/наличия возможности нарушителей и направления атак |
| 1.1 | проведение атаки при нахождении в пределах контролируемой зоны | Актуально |
|
| Окончание таблицы 1.22 | |||
| № угрозы | Уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы) | Актуальность использования (применения) для построения и реализации атак | Обоснование отсутствия/наличия возможности нарушителей и направления атак |
| 1.2 | проведение атак на этапе эксплуатации СКЗИ на следующие объекты: - документацию на СКЗИ и компоненты СФ; - помещения, в которых находится совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем (далее - СВТ), на которых реализованы СКЗИ и СФ; | Не актуально |
|
Таким образом, с учетом структурно-функциональных характеристик и реализуемых мер по защите информации в информационной системе Лечебного учреждения, были определены актуальные угрозы безопасности информации, обрабатываемой в информационной системе с использованием СКЗИ. Пример актуальных угроз безопасности информации, обрабатываемой в информационной системе Лечебного учреждения с использованием СКЗИ, представлен в таблице 1.23.
Таблица 1.23 – Перечень актуальных угроз безопасности информации, реализуемых в информационных системах с использованием СКЗИ
| № угрозы | Название угрозы безопасности информации |
| 1.1 | Проведение атаки при нахождении в пределах контролируемой зоны |
| 1.4 | Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий |
Итоговый перечень актуальных угроз безопасности информации.
Итоговый перечень актуальных угроз безопасности представлен в таблице 1.24.
Таблица 1.24 – Итоговый перечень актуальных угроз безопасности
| Идентификатор угрозы | Название угрозы | Актуальность угрозы |
| УБИ.006 | Угроза внедрения кода или данных | Актуальная |
| УБИ.012 | Угроза деструктивного изменения конфигурации/среды окружения программ | Актуальная |
| УБИ.014 | Угроза длительного удержания вычислительных ресурсов пользователями | Актуальная |
| УБИ.015 | Угроза доступа к защищаемым файлам с использованием обходного пути | Актуальная |
| УБИ.022 | Угроза избыточного выделения оперативной памяти | Актуальная |
| УБИ.023 | Угроза изменения компонентов системы | Актуальная |
| УБИ.027 | Угроза искажения вводимой и выводимой на периферийные устройства информации | Актуальная |
| УБИ.030 | Угроза использования информации идентификации/аутентификации, заданной по умолчанию | Актуальная |
| УБИ.031 | Угроза использования механизмов авторизации для повышения привилегий | Актуальная |
| УБИ.049 | Угроза нарушения целостности данных кеша | Актуальная |
| УБИ.067 | Угроза неправомерного ознакомления с защищаемой информацией | Актуальная |
| УБИ.071 | Угроза несанкционированного восстановления удалённой защищаемой информации | Актуальная |
| УБИ.074 | Угроза несанкционированного доступа к аутентификационной информации | Актуальная |
| УБИ.086 | Угроза несанкционированного изменения аутентификационной информации | Актуальная |
| УБИ.088 | Угроза несанкционированного копирования защищаемой информации | Актуальная |
| УБИ.089 | Угроза несанкционированного редактирования реестра | Актуальная |
| Продолжение таблицы 1.24 | ||
| Идентификатор угрозы | Название угрозы | Актуальность угрозы |
| УБИ.090 | Угроза несанкционированного создания учётной записи пользователя | Актуальная |
| УБИ.093 | Угроза несанкционированного управления буфером | Актуальная |
| УБИ.113 | Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники | Актуальная |
| УБИ.121 | Угроза повреждения системного реестра | Актуальная |
| УБИ.145 | Угроза пропуска проверки целостности программного обеспечения | Актуальная |
| УБИ.152 | Угроза удаления аутентификационной информации | Актуальная |
| УБИ.155 | Угроза утраты вычислительных ресурсов | Актуальная |
| УБИ.174 | Угроза «фарминга» | Актуальная |
| УБИ.178 | Угроза несанкционированного использования системных и сетевых утилит | Актуальная |
| ТУ.001 | Угроза отказа и неисправности технических средств, обрабатывающих информацию | Актуальная |
| ТУ.002 | Угроза отказа и неисправности технических средств, обеспечивающих работоспособность средств обработки информации (вспомогательных технических средств) | Актуальная |
| ТУ.003 | Угроза отказа и неисправности технических средств, обеспечивающих охрану и контроль доступа | Актуальная |
| ТУ.006 | Угроза сбоя прикладного программного обеспечения (сервисных программ, антивирусного программного обеспечения и т.д) или систем управления базами данных | Актуальная |
| 1.1 | Проведение атаки при нахождении в пределах контролируемой зоны | Актуальная |
| 1.4 | Использование штатных средств ИС, ограниченное мерами, реализованными в информационной системе, в которой используется СКЗИ, и направленными на предотвращение и пресечение несанкционированных действий | Актуальная |
2. Разработка методов и способов защиты персональных данных
2.1 Определение набора организационных и технических мер
Для полного понимания того, как и чем защищать информацию, необходимо определить набор мер.
В документе Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденным приказом ФСТЭК России от 18.02.2013 г. №21 [4], а также в методическом документе «Меры защиты информации в государственных информационных системах, утвержденном ФСТЭК России 11.02.2014 г. [1], который можно использовать и для защиты информационной системы, определен базовый набор мер для выбранных уровней защищенности ПДн.
В связи с тем, что сегменты «Поликлиника» и «Лечебный процесс» имеют одинаковые уровни защищенности персональных данных, из указанных документов выбирался базовый набор мер для 3 уровня защищенности ПДн.
Базовые наборы мер подвергались адаптации с учетом структурно-функциональных характеристик информационной системы. Например, в информационной системы Лечебного учреждения не используются технологии виртуальной инфраструктуры, технологии беспроводного доступа и мобильные устройства, соответственно реализация мер, направленных на защиту данных технологий нецелесообразна. Перечень мер, которые были исключены из базового набора мер, представлен в таблице 2.1.
Таблица 2.1 – Перечень мер, исключенных из базового набора
| Исключаемая мера | Причина исключения |
| ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | В ИС отсутствуют внешние пользователи |
| Окончание таблицы 2.1 | |
| Исключаемая мера | Причина исключения |
| XI. Защита среды виртуализации (ЗСВ) | В ИС отсутствует виртуальная инфраструктура |
| УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа | В ИС отсутствуют технологии беспроводного доступа |
| УПД.15 Регламентация и контроль использования в информационной системе мобильных технических средств | В ИС отсутствуют мобильные устройства |
| ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе | В ИС отсутствуют технологии беспроводного доступа |
Следующим шагом производилось уточнение адаптированного базового набора мер. При уточнении добавлялись меры, не включенные в базовый набор, но необходимые для нейтрализации всех актуальных угроз безопасности информации. Например, были добавлены меры ОПС.4 «Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов», так как угроза УБИ.015 Угроза доступа к защищаемым файлам с использованием обходного пути была определена как актуальная. Остальные добавленные меры представлены в таблице 2.2.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
