Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Приказ Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@ "Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов"

Приказ Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@ "Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов"

16 января 2012

Справка

Во исполнение статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701) и в соответствии с Государственным контрактом от 23.07.2011 N 5-7-02/83 ФГУП ГНИВЦ России разработаны методические документы технического характера по защите персональных данных.

В целях установления единых технических требований к обработке персональных данных в автоматизированных информационных системах налоговых органов приказываю:

1. Утвердить и ввести в действие с даты подписания настоящего приказа прилагаемые методические документы, предусматривающие рекомендации для территориальных налоговых органов по организации защиты персональных данных:

Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России (приложение N 1);

Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "НАЛОГ" (приложение N 2);

2. Утвердить:

Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных центрального аппарата ФНС России (приложение N 3);

Технические требования на систему защиты персональных данных в составе информационных систем персональных данных центрального аппарата ФНС России (приложение N 4).

3. Управлениям ФНС России по субъектам Российской Федерации, межрегиональным инспекциям ФНС России, инспекциям ФНС России по районам, районам в городах, городам без районного деления, инспекциям ФНС России межрайонного уровня проанализировать состояние работы по защите персональных данных и до 01 марта 2012 г. принять меры по ее приведению в соответствие с требованиями подпункта 1 пункта 2 статьи 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".

4. Управлению кадров (И.В. Шевченко) оказать методическую помощь территориальным налоговым органам при проведении работ по защите персональных данных.

5. Установить, что расходы на проведение работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных налоговых органов осуществляются за счет смет доходов и расходов соответствующих налоговых органов, утвержденных в установленном порядке.

6. Контроль за исполнением настоящего приказа оставляю за собой.

Руководитель Федеральной
налоговой службы

М.В. Мишустин

Приложение N 1

Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России
(утв. приказом Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@)

I. Общие положения

Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России (далее - документ) подготовлена по итогам проведения обследования информационно-телекоммуникационной инфраструктуры типовых объектов информатизации ФНС России федерального, регионального и местного уровней на предмет выявления и выделения информационных систем, в которых осуществляется обработка персональных данных (далее - ИСПДн).

При разработке документа использованы материалы "Проекта модернизации архитектуры информационной системы ФНС России. Книга 1. Описание существующей архитектуры АИС Налог" Части 1 - 11.

Документ разработан в соответствии с требованиями следующих нормативных актов:

Федерального закона Российской Федерации от 27.07.2006 N 152-ФЗ "О персональных данных";

постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных";

постановления Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

приказа ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных";

"Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной заместителем директора ФСТЭК России 15.02.2008;

"Методики определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных", утвержденной заместителем директора ФСТЭК России 14.02.2008;

"Положения о методах и способах защиты информации в информационных системах персональных данных", утверждённого приказом ФСТЭК России от 05.02.2010 N 58.

II. Область применения

Настоящий документ разработан на основании руководящих документов ФСТЭК России в области обеспечения безопасности персональных данных (далее - ПДн) и предназначен для определения обоснованных мер защиты ПДн, обрабатываемых на типовом объекте информатизации ФНС России (далее - ТОИ ФНС России), от угроз, связанных:

с несанкционированным доступом в ИСПДн с целью изменения, копирования, неправомерного распространения ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в них ПДн с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования ПДн;

с перехватом (съемом) ПДн по техническим каналам с целью их копирования или неправомерного распространения.

Модель нарушителя, приведённая в разделе VII настоящего документа, не распространяется на вопросы применения криптографических методов и способов защиты информации.

Мероприятия по обеспечению безопасности ПДн с помощью криптосредств при их обработке в ИСПДн на типовом объекте информатизации ФНС России осуществляются в соответствии с требованиями руководящих документов ФСБ России* и на основании "Модели нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог".

III. Описание подхода к моделированию угроз безопасности ПДн

Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

Результаты анализа и моделирования угроз предназначены для выбора адекватных оптимальных мер и методов парирования угроз.

На этапе обследования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе ИСПДн типовых объектов информатизации ФНС России.

Исходными данными для проведения оценки и анализа служат материалы обследования информационно-телекоммуникационной инфраструктуры ТОИ ФНС России, а также результаты анкетирования работников различных подразделений, в том числе руководства ФНС России, кадровых подразделений, служб безопасности, подразделений информационной безопасности и служб обеспечения. Анкетирование проводилось для уяснения направленности их деятельности, предполагаемых приоритетов и целей безопасности информации, задач, решаемых в ИСПДн, а также условий расположения и эксплуатации ИСПДн на основе методических документов ФСТЭК России.

"Базовая модель угроз безопасности ПДн при их обработке в ИСПДн" содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями зарубежных спецслужб или организаций, а также криминальных группировок, создающими условия для нарушения безопасности ПДн.

На основе "Базовой модели угроз безопасности ПДн при их обработке в ИСПДн" проведена классификация угроз безопасности ПДн в составе ИСПДн ТОИ ФНС России и составлен перечень угроз безопасности ПДн в составе ИСПДн.

На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью "Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн" построена настоящая модель угроз безопасности ПДн в составе ИСПДн ТОИ ФНС России и выявлены актуальные угрозы.

IV. Классификация угроз безопасности ПДн в ИСПДн

Состав и содержание угроз безопасности ПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн.

Совокупность таких условий и факторов формируется с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угроз.

К характеристикам ИСПДн, обуславливающим возникновение угроз безопасности ПДн, можно отнести:

категорию и объем обрабатываемых в ИСПДн персональных данных;

структуру ИСПДн;

наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена;

характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн;

режимы обработки ПДн;

режимы разграничения прав доступа пользователей ИСПДн;

местонахождение и условия размещения технических средств ИСПДн.

ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов. Основными элементами ИСПДн являются:

ПДн, содержащиеся в базах данных ИСПДн;

информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн;

технические средства, осуществляющие обработку ПДн;

программные средства (операционные системы, системы управления базами данных и т.п.);

средства защиты информации;

вспомогательные технические средства и системы.

Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются ПДн, и определяются при оценке возможности реализации канала угроз безопасности ПДн.

Возможности источников угроз безопасности ПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

Угроза безопасности ПДн реализуется в результате образования канала реализации угроз безопасности ПДн между источником угрозы и носителем (источником) ПДн, что создает необходимые условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Основными элементами канала реализации угроз безопасности ПДн являются:

источник угроз безопасности ПДн - субъект, материальный объект или физическое явление, создающие угрозы безопасности ПДн;

среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;

носитель ПДн - физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Носители ПДн могут содержать информацию, представленную в следующих видах:

акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя ИСПДн, а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;

видовая информация, представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;

информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;

информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, IP-протоколов, файлов и других логических структур.

В целях формирования систематизированного перечня угроз безопасности ПДн при их обработке в ИСПДн угрозы классифицируются в соответствии со следующими признаками:

1) по видам возможных источников угроз безопасности ПДн:

угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн (внутренний нарушитель);

угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующими угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель);

2) по структуре ИСПДн, на которую направлена реализация угроз безопасности ПДн:

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автоматизированного рабочего места;

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем;

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем;

3) по виду несанкционированных действий, осуществляемых с ПДн:

угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации, которых не осуществляется непосредственного воздействия на содержание информации;

угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;

угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн;

4) по способам реализации угроз безопасности ПДн:

угрозы, реализуемые в ИСПДн при их подключении к сетям связи общего пользования;

угрозы, реализуемые в ИСПДн при их подключении к сетям международного информационного обмена;

угрозы, реализуемые в ИСПДн не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена.

5) по виду каналов, с использованием которых реализуется угроз безопасности ПДн:

угрозы, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в технических средствах ИСПДн или вспомогательные технические средства и системы (ВТСС) (технические каналы утечки информации);

угрозы, реализуемые за счет несанкционированного доступа к ПДн в ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения.

Реализация одной из угроз безопасности ПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:

значительные негативные последствия для субъектов ПДн;

негативные последствия для субъектов ПДн;

незначительные негативные последствия для субъектов ПДн.

Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн и описываются следующим образом:

угроза утечки ПДн по техническим каналам: = <источник угрозы (приемник информативного сигнала)>, <среда (путь) распространения информационного сигнала>, <источник (носитель) ПДн>.

Угрозы, связанные с НСД, представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:

угроза НСД: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия (носитель ПДн)>, <несанкционированный доступ>.

V. Общее описание угроз безопасности ПДн обрабатываемых в ИСПДн

При обработке ПДн в ИСПДн, возможна реализация следующих видов угроз безопасности ПДн:

угрозы утечки информации по техническим каналам;

угрозы НСД к ПДн, обрабатываемым в ИСПДн.

5.1 Угрозы утечки информации по техническим каналам

Основными элементами угроз в части утечки информации по техническим каналам, в общем случае, являются:

источник угрозы (физические лица, не имеющие доступа к ИСПДн, организации, в том числе криминальные и террористические группировки), которые потенциально могут осуществлять перехват (съем) информации с использованием технических средств;

среда (путь) распространения информативного сигнала (физическая среда, по которой информативный сигнал может распространяться и приниматься (регистрироваться) приемником);

носитель защищаемой информации, а также технические средства ИСПДн и ВТСС, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн за счет реализации следующих технических каналов утечки информации:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналам ПЭМИН.

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Угрозы утечки информации по каналу ПЭМИН, возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора.

5.2 Угрозы несанкционированного доступа

Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя:

1) Угрозы доступа (проникновения) в операционную среду ИСПДн (компьютера) с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа.

Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера.

Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия.

2) Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.

Угрозы создания нештатных режимов работы программных (программно-аппаратных) средств - это угрозы "Отказа в обслуживании". Их реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению:

содержания служебной информации в пакетах сообщений, передаваемых по сети;

условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);

форматов представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия);

программного обеспечения обработки данных.

В результате реализации угроз "Отказа в обслуживании" происходит переполнение буферов и блокирование процедур обработки, "зацикливание" процедур обработки и "зависание" компьютера, отбрасывание пакетов сообщений и др.

3) Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, на сегодняшний день существует большое количество вредоносных программ (по некоторым оценкам значительно превышает сто тысяч). Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать разновидность вредоносной программы, способы и последствия от ее внедрения (инфицирования).

VI. Описание и анализ существующих угроз безопасности ПДн, обрабатываемых в ИСПДн ТОИ ФНС России

6.1 Угрозы утечки информации по техническим каналам

При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн (далее - УБПДн) за счет реализации следующих технических каналов утечки информации:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналам ПЭМИН.

6.1.1. Угрозы утечки акустической (речевой) информации

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, а также при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

Утечка акустической (речевой) информации может быть осуществлена:

с помощью аппаратных закладок;

за счет съема виброакустических сигналов;

за счет излучений модулированных акустическим сигналом (микрофонный эффект и ВЧ облучение);

за счет оптического излучения, модулированного акустическим сигналом.

В ИСПДн ТОИ ФНС России не реализованы функции голосового ввода ПДн в ИСПДн или функции воспроизведения ПДн акустическими средствами ИСПДн. В связи с этим рассмотрение угроз утечки акустической (речевой) информации нецелесообразно, так как отсутствуют предпосылки для возникновения угроз этого вида.

6.1.2. Угрозы утечки видовой информации

Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Кроме этого просмотр (регистрация) ПДн возможен с использованием специальных электронных устройств съема, внедренных в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.

Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн.

Утечка видовой информации может быть осуществлена:

за счет удаленного просмотра экранов дисплеев и других средств отображения информации;

с помощью видео аппаратных закладок

В ИСПДн ТОИ ФНС России отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях или в непосредственной близости от них, соответственно отсутствует возможность непосредственного перехвата ПДн с помощью оптических (оптикоэлектронных) средств, а также возможность установки аппаратных видеозакладок.

С учётом изложенного, рассмотрение угроз утечки видовой информации нецелесообразно, так как отсутствуют предпосылки для реализации угроз этого вида.

6.1.3. Угрозы утечки информации по каналам ПЭМИН

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.

Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн.

Регистрации ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн (средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приема и обработки ПДн).

Для регистрации ПЭМИН используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации.

Утечка информации по каналам ПЭМИН может быть осуществлена:

за счет побочных электромагнитных (ЭМ) излучений ЭВТ;

за счет наводок по цепям питания;

за счет радиоизлучений, модулированных информационным сигналом.

На возможность перехвата ПДн по каналам ПЭМИН на ТОИ существенное влияние оказывают следующие факторы:

размещение технических средств и кабельных сетей ИСПДн, создающих побочные электромагнитные излучения и наводки, в пределах контролируемой зоны ТОИ;

применение для обработки ПДн технических средств, отвечающих требованиям национальных стандартов по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам средств вычислительной техники;

наличие на ТОИ интенсивных источников электромагнитных помех (большого числа одновременно работающих ПЭВМ и других технических средств, ограниченная часть которых в конкретный момент времени осуществляет обработку ПДн), что делает крайне сложным возможность выделения информативных сигналов из суммарного поля побочных электромагнитных излучений (наводок) и таким образом существенно снижает вероятность перехвата ПЭМИН от средств обработки ПДн;

хранение информации в базах данных, содержащих ПДн, в неструктурированном (дефрагментированном) виде (её фрагменты распределяются по полям, кластерам и др.), что существенно затрудняет возможность получения и обработки информации средствами перехвата в виде, доступном для использования;

обеспечение контрольно - пропускного режима в контролируемую зону ТОИ;

обеспечение контролируемого доступа персонала и посетителей в помещения, где осуществляется обработка ПДн.

Перечисленные факторы (причины) существенно затрудняют возможность перехвата информации по каналам ПЭМИН.

Кроме того, для нарушителей, способных реализовать угрозу данного вида, требуется высокий уровень технической оснащенности и применение дорогостоящих специализированных средств перехвата информации, что с учётом несоответствия относительно низкой ценности ПДн и высокой стоимости реализации угрозы делает возможность перехвата ПДн по каналам ПЭМИН крайне маловероятной.

Таким образом, с учётом перечисленных факторов, реализация угрозы перехвата ПДн по каналам ПЭМИН является маловероятной (неактуальной) и далее не рассматривается.

6.2 Угрозы НСД к ПДн, обрабатываемым в ИСПДн ТОИ ФНС России

Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в ИСПДн могут быть аппаратные закладки и отчуждаемые носители вредоносных программ.

1) В ИСПДн ТОИ ФНС России возможны:

угрозы, реализуемые в ходе загрузки операционной системы:

перехват паролей или идентификаторов;

модификация базовой системы ввода/ вывода (BIOS), перехват управления загрузкой;

2) угрозы, реализуемые после загрузки операционной системы:

выполнение несанкционированного доступа с применением стандартных функций операционной системы;

выполнение несанкционированного доступа с помощью прикладной программы (например, системы управления базами данных);

выполнение несанкционированного доступа с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);

утечка информации с использованием копирования ее на съемные носители;

утечка данных посредством печати информации;

утечка информации за счет ее несанкционированной передачи по каналам связи;

3) угрозы внедрения вредоносных программ с использованием съемных носителей;

4) угрозы утечки информации с помощью аппаратных закладок;

5) угрозы "Анализа сетевого трафика" - перехват передаваемой во внешние сети и принимаемой из внешних сетей информации;

6) угрозы сканирования - выявление типа или типов используемых операционных систем, сетевых адресов рабочих станций ИСПДн, топологии сети, открытых портов и служб, открытых соединений и др;

7) угрозы получения НСД путем подмены доверенного объекта:

обход системы идентификации и аутентификации сообщений;

обход системы идентификации и аутентификации сетевых объектов;

8) угрозы внедрения ложного объекта сети - перехват запросов и модификация адресных данных (с использованием протоколов SAP, ARP, DNS, WINS);

9) угрозы навязывания ложного маршрута - несанкционированное изменение маршрутно-адресных данных (с использованием протоколов RIP, OSPF, LSP, ICMP, SNMP);

10) угрозы выявления паролей:

перехват и взлом паролей;

подбор паролей доступа;

11) угрозы типа "Отказ в обслуживании";

12) угрозы удаленного запуска приложений:

внедрение троянских программ;

атаки типа "переполнение буфера";

с использованием средств удаленного управления;

13) угрозы внедрения по сети вредоносных программ:

внедрение вредоносных программ через почтовые сообщения;

внедрение вредоносных программ через обмен и загрузку файлов;

внедрение вредоносных программ через зараженные Web страницы;

заражение сетевыми червями, использующими уязвимости сетевого ПО.

6.3 Общая характеристика источников угроз НСД

Источниками угроз НСД в ИСПДн могут быть носитель вредоносной программы, аппаратная закладка, нарушитель.

6.3.1. Носитель вредоносной программы

Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:

отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;

встроенные носители информации (винчестеры, микросхемы оперативной памяти, процессор, микросхемы системной платы, микросхемы устройств, встраиваемых в системный блок - видеоадаптера, сетевой платы, звуковой платы, модема, устройств ввода/вывода магнитных жестких и оптических дисков, блока питания и т.п., микросхемы прямого доступа к памяти, шин передачи данных, портов ввода-вывода;

микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).

Если вредоносная программа ассоциируется с какой-либо прикладной программой, с файлами, имеющими определенные расширения или иные атрибуты, с сообщениями, передаваемыми по сети, то ее носителями являются:

пакеты передаваемых по компьютерной сети сообщений;

файлы (текстовые, графические, исполняемые и т.д.).

6.3.2 Аппаратная закладка

Потенциально может рассматриваться возможность применения аппаратных средств, предназначенных для регистрации вводимой в ИСПДн с клавиатуры АРМ информации (ПДн), например:

аппаратная закладка внутри клавиатуры;

считывание данных с кабеля клавиатуры бесконтактным методом;

включение устройства в разрыв кабеля;

аппаратная закладка внутри системного блока и др.

Однако отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях, в которых размещены технические средства ИСПДн, или в непосредственной близости от них, соответственно отсутствует возможность установки аппаратных закладок посторонними лицами.

Существование данного источника угроз маловероятно также из-за несоответствия стоимости аппаратных закладок, сложности их скрытой установки и полученной в результате информации.

7. Модель нарушителя безопасности ПДн, обрабатываемых в ИСПДн ТОИ ФНС России

Под нарушителем безопасности информации понимается физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в ИСПДн**.

По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:

Внешние нарушители - нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

Внутренние нарушители - нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

7.1 Внешний нарушитель

Внешними нарушителями могут быть криминальные структуры, недобросовестные налогоплательщики, недобросовестные партнеры, внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

осуществлять несанкционированный доступ через автоматизированные рабочие места, подключенные к сетям связи общего пользования и (или) сетям международного информационного обмена;

осуществлять несанкционированный доступ к информации с использованием специальных программных воздействий посредством программных вирусов, вредоносных программ, алгоритмических или программных закладок;

осуществлять несанкционированные доступ через элементы информационной инфраструктуры ИСПДн, которые в процессе своего жизненного цикла (модернизация, сопровождение, ремонт, утилизация) оказываются за пределами контролируемой зоны;

осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн ТОИ ФНС России.

7.2 Внутренний нарушитель

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн.

К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

Лицо этой категории может:

иметь доступ к фрагментам информации, содержащей ПДн и распространяющейся по внутренним каналам связи ИСПДн;

располагать фрагментами информации о топологии ИСПДн (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;

располагать именами и вести выявление паролей зарегистрированных пользователей;

изменять конфигурацию технических средств ИСПДн, вносить в нее программно-аппаратные закладки и обеспечивать съем информации, используя непосредственное подключение к техническим средствам ИСПДн.

Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

обладает всеми возможностями лиц первой категории;

знает по меньшей мере одно легальное имя доступа;

обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;

располагает конфиденциальными данными, к которым имеет доступ.

Его доступ, аутентификация и права по доступу к некоторому подмножеству ПДн, должны регламентироваться соответствующими правилами разграничения доступа.

К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

Лицо этой категории:

обладает всеми возможностями лиц первой и второй категорий;

располагает информацией о топологии ИСПДн на базе локальной и (или) распределенной информационной системам, через которую он осуществляет доступ, и составе технических средств ИСПДн;

имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.

К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении, используемом в сегменте (фрагменте) ИСПДн;

обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ к средствам защиты информации и протоколирования, а также к отдельным элементам, используемым в сегменте (фрагменте) ИСПДн;

имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;

обладает правами конфигурирования и административной настройки некоторого подмножества технических средств сегмента (фрагмента) ИСПДн.

К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации (СКЗИ), мониторинга, регистрации, архивации, защиты от НСД.

К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

Администратор безопасности отвечает за соблюдение правил разграничения доступа, за генерацию ключевых элементов, смену паролей. Администратор безопасности осуществляет аудит тех же средств защиты объекта, что и системный администратор.

К седьмой категории относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.

Лицо этой категории:

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн.

Лицо этой категории:

обладает возможностями внесения закладок в технические средства ИСПДн на стадии их разработки, внедрения и сопровождения;

может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты информации в ИСПДн.

Указанные категории нарушителей должны учитываться при оценке возможностей реализации УБПДн.

Для ИСПДн ТОИ ФНС России существует возможность реализации угроз НСД к ПДн со стороны внутренних потенциальных нарушителей, приведённых в Таблице 1.

8. Общая характеристика уязвимостей ИСПДн

Уязвимость ИСПДн - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности ПДн.

Причины возникновения уязвимостей:

ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;

преднамеренные действия по внесению уязвимостей в ходе проектирования и разработки программного (программно-аппаратного) обеспечения;

неправильные настройки программного обеспечения, неправомерное изменение режимов работы устройств и программ;

несанкционированное внедрение и использование неучтенных программ с последующим необоснованным расходованием ресурсов (загрузка процессора, захват оперативной памяти и памяти на внешних носителях);

внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

сбои в работе аппаратного и программного обеспечения, вызванные сбоями в электропитании, выходом из строя аппаратных элементов в результате старения и снижения надежности, внешними воздействиями электромагнитных полей технических устройств и др.).

К основным группам уязвимостей ИСПДн, относятся:

уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

8.1 Характеристика уязвимостей системного программного обеспечения

Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем. При этом возможны уязвимости:

в микропрограммах, в прошивках запоминающих устройств;

в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах;

в средствах операционной системы, предназначенных для выполнения вспомогательных функций - утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.);

в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.

8.2 Характеристика уязвимостей прикладного программного обеспечения

К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы.

Прикладные программы общего пользования - текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п.

Специальные прикладные программы - это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).

Уязвимости прикладного программного обеспечения могут представлять собой:

функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы;

функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и использования штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой;

фрагменты кода программ ("дыры", "люки"), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе;

IX. Характеристика угроз непосредственного доступа в операционную среду ИСПДн

Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом:

к информации и командам, хранящимся в базовой системе ввода/вывода (BIOS) ИСПДн с возможностью перехвата управления загрузкой операционной системы и получением прав доверенного пользователя;

в операционную среду, то есть среду функционирования локальной операционной системы отдельного технического средства ИСПДн с возможностью выполнения несанкционированного доступа путем вызова штатных программ операционной системы или запуска специально разработанных программ, реализующих такие действия;

в среду функционирования прикладных программ (например, к локальной системе управления базами данных);

непосредственно к информации пользователя (к файлам, текстовой, аудио- и графической информации, полям и записям в электронных базах данных), обусловленной возможностью нарушения ее конфиденциальности, целостности и доступности.

Эти угрозы могут быть реализованы в случае получения физического доступа к ИСПДн или, по крайней мере, к средствам ввода информации в ИСПДн:

1) угрозы, реализуемые в ходе загрузки операционной системы, направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.

2) угрозы, реализуемые после загрузки операционной среды (независимо от того, какая прикладная программа запускается пользователем), как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программой общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:

программами просмотра и модификации реестра;

программами поиска текстов в текстовых файлах по ключевым словам и копирования;

специальными программами просмотра и копирования записей в базах данных;

программами быстрого просмотра графических файлов, их редактирования или копирования;

программами поддержки возможностей реконфигурации программной среды (настройки ИСПДн в интересах нарушителя) и др.

3) угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ - это угрозы внедрения вредоносных программ.

X. Общая характеристика угроз безопасности ПДн, реализуемых с использованием протоколов межсетевого взаимодействия

Классификация угроз, реализуемых по сети, приведена в Таблице 2. В ее основу положено семь первичных признаков классификации.

С учетом проведенной классификации можно выделить восемь угроз, реализуемых с использованием протоколов межсетевого взаимодействия:

анализ сетевого трафика;

сканирование сети;

угроза выявления пароля;

подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа;

навязывание ложного маршрута сети;

внедрение ложного объекта сети;

отказ в обслуживании;

удаленный запуск приложений.

10.1 Анализ сетевого трафика

Эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель:

изучает логику работы ИСПДн - то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

перехватывает поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользователей для доступа к удаленным хостам по протоколам FTP и TELNET, не предусматривающих шифрование), ее подмены, модификации и т.п.

10.2 Сканирование сети

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них.

Цель - выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

10.3 Угроза выявления пароля

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

10.4 Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.) легально подключенный к серверу.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от имени доверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных. При этом необходимо иметь в виду, что единственными идентификаторами абонентов и соединения (по протоколу TCP), являются два 32-битных параметра Initial Sequence Number - ISS (Номер последовательности) и Acknowledgment Number - ACK (Номер подтверждения). Следовательно, для формирования ложного TCP-пакета нарушителю необходимо знать текущие идентификаторы для данного соединения - ISSa и ISSb, где:

ISSa - некоторое численное значение, характеризующее порядковый номер отправляемого TCP пакета, устанавливаемого TCP - соединения, инициированного хостом А;

ISSb - некоторое численное значение, характеризующее порядковый номер отправляемого TCP пакета, устанавливаемого TCP - соединения, инициированного хостом В.

Значение ACK (номера подтверждения установления TCP - соединения) определяется как значение номера полученного от респондента ISS (номер последовательности) плюс единица ACKb = ISSa + 1.

В результате реализации угрозы нарушитель получает права доступа к техническому средству ИСПДн - цели угроз, установленные его пользователем для доверенного абонента.

10.5 Навязывание ложного маршрута сети

Данная угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.

10.6 Внедрение ложного объекта сети

Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.

10.7 Отказ в обслуживании

Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по протоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;

явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи, либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);

явный отказ в обслуживании, вызванный нарушением логической связности между техническим средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;

явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "Ping Death"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПДн в ИСПДн, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПДн, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка ИСПДн из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

10.8 Удаленный запуск приложений

Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

1). Распространение файлов, содержащих несанкционированный исполняемый код. Типовые угрозы этого подкласса основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы.

2). Удаленный запуск приложения путем переполнения буфера приложений-серверов. При угрозах этого подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса".

3). Удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами.

При угрозах этого подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т.п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

XI. Общая характеристика угроз программно-математических воздействий

Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

скрывать признаки своего присутствия в программной среде компьютера;

обладать способностью к самодублированию, ассоциированию себя с другими программами и (или) переносу своих фрагментов в иные области оперативной или внешней памяти;

разрушать (искажать произвольным образом) код программ в оперативной памяти;

выполнять без инициирования со стороны пользователя (пользовательской программы в штатном режиме ее выполнения) деструктивные функции (копирования, уничтожения, блокирования и т.п.);

сохранять фрагменты информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);

искажать произвольным образом, блокировать и (или) подменять выводимый во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.

Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.

Вредоносные программы основаны на использовании уязвимостей различного рода программного обеспечения и разнообразных сетевых технологий, обладают широким спектром возможностей и могут действовать во всех видах программного обеспечения.

Наличие в ИСПДн вредоносных программ может способствовать возникновению скрытых, в том числе нетрадиционных каналов доступа к информации, позволяющих вскрывать, обходить или блокировать защитные механизмы, предусмотренные в системе, в том числе парольную и криптографическую защиту.

Основными видами вредоносных программ являются:

программные закладки;

классические программные (компьютерные) вирусы;

вредоносные программы, распространяющиеся по сети (сетевые черви);

другие вредоносные программы, предназначенные для осуществления НСД.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

программы, демонстрирующие использование недекларированных возможностей программного и программно-аппаратного обеспечения ИСПДн;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

XII. Общая характеристика нетрадиционных информационных каналов

Нетрадиционный информационный канал - это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.

Для формирования нетрадиционных каналов могут использоваться методы:

компьютерной стеганографии***;

основанные на манипуляции различных характеристик ИСПДн, которые можно получать санкционированно (например, времени обработки различных запросов, объемов доступной памяти или доступных для чтения идентификаторов файлов или процессов и т.п.).

Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов:

на использовании специальных свойств компьютерных форматов хранения и передачи данных;

на избыточности аудио, визуальной или текстовой информации с позиции психофизиологических особенностей восприятия человека.

Наибольшее развитие и применение в настоящее время находят методы сокрытия информации в графических стегоконтейнерах. Это обусловлено сравнительно большим объемом информации, который можно разместить в таких контейнерах без заметного искажения изображения, наличием априорных сведений о размерах контейнера, существованием в большинстве реальных изображений текстурных областей, имеющих шумовую структуру и хорошо подходящих для встраивания информации, проработанностью методов цифровой обработки изображений и цифровых форматов представления изображений. В настоящее время существует целый ряд доступных программных продуктов, реализующих известные стеганографические методы сокрытия информации. При этом преимущественно используются графические и аудио-контейнеры.

В нетрадиционных информационных каналах, основанных на манипуляции различными характеристиками ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний.

Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн:

на аппаратном уровне;

на уровне микрокодов и драйверов устройств;

на уровне операционной системы;

на уровне прикладного программного обеспечения;

на уровне функционирования каналов передачи данных и линий связи.

Эти каналы могут использоваться как для скрытой передачи скопированной информации, так и для скрытной передачи команд на выполнение деструктивных действий, запуска приложений и т.п.

Для реализации каналов, как правило, необходимо внедрить в автоматизированную систему программную или программно-аппаратную закладку, обеспечивающую формирование нетрадиционного канала.

Нетрадиционный информационный канал может существовать в системе непрерывно или активизироваться одноразово или по заданным условиям. При этом возможно существование обратной связи с субъектом НСД.

XIII. Общая характеристика результатов несанкционированного или случайного доступа

Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности:

1) нарушению конфиденциальности (копирование, неправомерное распространение), которое может быть осуществлено в случае утечки информации за счет:

копирования ее на отчуждаемые носители информации;

передачи ее по каналам передачи данных;

при просмотре или копировании ее в ходе ремонта, модификации и утилизации программно-аппаратных средств;

при "сборке мусора" нарушителем в процессе эксплуатации ИСПДн.

2) нарушению целостности (уничтожение, изменение) за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную) информацию, включающую:

микропрограммы, данные и драйвера устройств вычислительной системы;

программы, данные и драйвера устройств, обеспечивающих загрузку операционной системы;

программы и данные (дескрипторы, описатели, структуры, таблицы и т.д.) операционной системы;

программы и данные прикладного программного обеспечения;

программы и данные специального программного обеспечения;

промежуточные (оперативные) значения программ и данных в процессе их обработки (чтения/записи, приема/передачи) средствами и устройствами вычислительной техники.

Нарушение целостности информации в ИСПДн может также быть вызвано внедрением в нее вредоносной программы программно-аппаратной закладки или воздействием на систему защиты информации или ее элементы.

Кроме этого, в ИСПДн возможно воздействие на технологическую сетевую информацию, которая может обеспечивать функционирование различных средств управления вычислительной сетью:

конфигурацией сети;

адресами и маршрутизацией передачи данных в сети;

функциональным контролем сети;

безопасностью информации в сети.

3) нарушению доступности (блокирование) путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратуры или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратуры.

Указанные действия могут привести к нарушению или отказу функционирования практически любых технических средств ИСПДн:

средств обработки информации;

средств ввода/вывода информации;

средств хранения информации;

аппаратуры и каналов передачи;

средств защиты информации.

XIV. Определение уровня исходной защищенности ИСПДн ТОИ ФНС России

Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (*).

В соответствии с Таблицей 3, менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний", следовательно *. ИСПДн имеет среднюю степень исходной защищенности.

XV. Определение вероятности реализации угроз в ИСПДн ТОИ ФНС России

Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

Показатель вероятности (*) определяется по 4 градациям этого показателя

Градация	Описание	Показатель вероятности (Y2)
маловероятно	отсутствуют объективные предпосылки для осуществления угрозы	*
низкая вероятность	объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию	*
средняя вероятность	объектные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны	*
высокая вероятность	объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты	*

Оценка вероятности реализации угрозы безопасности различными категориями нарушителей (*) приведена в Таблице 4.

По итогам оценки уровня исходной защищенности (*) и вероятности реализации угрозы (*), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (Таблица 5). Коэффициент реализуемости угрозы рассчитывается по формуле: *.

XVI. Оценка опасности угроз ИСПДн ТОИ ФНС России

Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет 3 значения:

1) низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

2) средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

3) высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

В ФНС России вербальный показатель опасности формируется относительно двух групп объектов информатизации.

Первую группу составляют объекты: УФНС, МИ КН, МИ ЦОД, МРИ ЦОД, МИ ФО и ЦА.

Вторую группу составляют объекты ИФНС и МРИ КН.

Оценка опасности угроз для первой группы объектов приведена в Таблице 6.1, для второй группы объектов (ИФНС, МРИ КН) приведена в Таблице 6.2

XVII. Перечень актуальных УБПДн в ИСПДн ТОИ ФНС России

Отнесение угрозы к актуальной производится по правилам, приведенным в Таблице 7.

В соответствии с правилами отнесения угроз безопасности к актуальным, для ИСПДн первой группы объектов существуют актуальные угрозы приведенные в Таблице 8.1.

Таким образом, актуальными угрозами безопасности ПДн в ИСПДн первой группы являются:

угроза НСД с применением стандартных функций операционной системы;

угроза НСД при передаче информации по внешним каналам;

угроза утечки информации при удаленном доступе к информационным ресурсам;

угроза утечки информации с использованием копирования ее на съемные носители;

угроза утечки данных посредством печати информации, содержащей персональные данные;

угроза внедрения вредоносных программ с использованием съемных носителей;

угроза "Анализа сетевого трафика";

угроза подбора паролей доступа;

угроза внедрения троянских программ.

В соответствии с правилами отнесения угроз безопасности к актуальным, для ИСПДн второй группы объектов существуют актуальные угрозы приведенные в Таблице 8.2.

Таким образом, актуальными угрозами безопасности ПДн в ИСПДн второй группы являются:

угроза НСД с применением стандартных функций операционной системы;

угроза НСД с помощью прикладной программы;

угроза НСД при передаче информации по внешним каналам;

угроза утечки информации при удаленном доступе к информационным ресурсам;

угроза утечки информации с использованием копирования ее на съемные носители;

угроза утечки данных посредством печати информации, содержащей персональные данные;

угроза внедрения вредоносных программ с использованием съемных носителей;

угроза "Анализа сетевого трафика";

угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;

угроза перехвата и взлома паролей;

угроза подбора паролей доступа;

угрозы внедрения троянских программ;

угроза удаленного запуска приложений с использованием средств удаленного управления.

XVIII. Заключение

Построенная Модель угроз безопасности ПДн в ИСПДн ТОИ ФНС России применима к существующему состоянию ИСПДн ТОИ ФНС России при условии соблюдения основных (базовых) исходных данных:

технические средства ИСПДн находятся в пределах контролируемой зоны;

ИСПДн отделена от сетей общего пользования;

отсутствует возможность неконтролируемого пребывания посторонних лиц в служебных помещениях ИСПДн и др.

В случае несоблюдения и/или изменения вышеуказанных условий Модель угроз безопасности ПДн в ИСПДн ТОИ ФНС России должна быть пересмотрена.

Таблица 1.

Категории нарушителей безопасности ПДн в ИСПДн ТОИ ФНС России

Категория нарушителя (Kn)	Способ доступа и полномочия
*	Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн
*	Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места
*	Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам
*	Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн
*	Зарегистрированные пользователи с полномочиями системного администратора ИСПДн
*	Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн
*	Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте
*	Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн

Таблица 2.

N п/п	Признак классификации	Тип угрозы	Описание
1	Характер угрозы	Пассивная угроза	угроза, при реализации которой не оказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам.
1	Характер угрозы	Активная угроза	угроза, связанная с воздействием на ресурсы ИСПДн, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т.д.), с нарушением установленных правил разграничения доступа к ПДн или сетевым ресурсам.
2	Цель реализации угрозы	Угрозы, направленные на нарушение конфиденциальности
		Угрозы, направленные на нарушение целостности
		Угрозы, направленные на нарушение доступности
3	Условие начала осуществления процесса реализации угрозы	по запросу от объекта, относительно которого реализуется угроза	нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа
		по наступлению ожидаемого события на объекте, относительно которого реализуется угроза	нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает действовать несанкционированный доступ
		безусловное воздействие	начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы
4	Наличие обратной связи с ИСПДн	с обратной связью	Между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн
4	Наличие обратной связи с ИСПДн	без обратной связи	Реализация угроз не требуется реагировать на какие-либо изменения, происходящие в ИСПДн
5	Расположение нарушителя относительно ИСПДн	внутрисегментно	подключение осуществляется к аппаратным элементам ИСПДн
5	Расположение нарушителя относительно ИСПДн	межсегментно	нарушитель может располагаться как вне ИСПДн, реализуя угрозу из другой сети, так в одном из сегментов ИСПДн, реализуя угрозу относительно технического средства ИСПДн, расположенного в другом сегменте ИСПДн
6	Уровень эталонной модели взаимодействия	Физический уровень модели ISO/OSI
		Канальный уровень модели ISO/OSI
		Сетевой уровень модели ISO/OSI
		Транспортный уровень модели ISO/OSI
		Сеансовый уровень модели ISO/OSI
		Представительный уровень модели ISO/OSI
		Прикладной уровень модели ISO/OSI
7	Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза	угроза "один к одному"	Реализуется одним нарушителем относительно одного технического средства ИСПДн
		угроза "один ко многим"	Реализуется одним нарушителем относительно нескольких технических средств ИСПДн
		распределенные или комбинированные угрозы	Реализуется несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн

Таблица 3.

Показатели исходной защищенности ИСПДн ТОИ ФНС России

Технические и эксплуатационные характеристики ИСПДн ТОИ ФНС	Уровень защищенности
Технические и эксплуатационные характеристики ИСПДн ТОИ ФНС	Высокий	Средний	Низкий
1. По территориальному размещению: Распределенная ИСПДн, которая охватывает несколько областей, краев, округов или государство в целом	-	+	-
2. По наличию соединения с сетями общего пользования: ИСПДн, физически отделенная от сети общего пользования	-	+	-
3. По встроенным (легальным) операциям с записями баз персональных данных: - чтение, поиск; - запись, удаление, сортировка; - модификация, передача.	- - -	+ + -	- - +
4. По разграничению доступа к персональным данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющийся владельцем ИСПДн, либо субъект ПДн	-	+	-
5. По наличию соединений с другими базами ПДн иных ИСПДн: ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	-	+	-
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)	-	-	+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, не предоставляющие никакой информации	-	+	-

Таблица 4.

Угроза безопасности ПДн	Коэффициент вероятности реализации угрозы нарушителем категории Кn
Угроза безопасности ПДн	*	*	*	*	*	*	*	*	Итог *
угроза модификации базовой системы ввода/вывода (BIOS),	2	0	0	0	2	2	2	2	2
угроза перехвата управления загрузкой	0	0	0	0	2	2	2	0	0
угроза НСД с применением стандартных функций операционной системы	0	0	2	2	5	5	2	2	2
угроза НСД с помощью прикладной программы	0	0	2	2	2	2	2	0	2
угроза НСД с применением специально созданных для этого программ	0	0	2	0	0	0	2	0	0
угроза НСД при передаче информации по внешним каналам	0	0	2	0	0	0	0	0	0
угроза утечки информации при удаленном доступе к информационным ресурсам	0	0	2	0	0	0	0	0	0
угроза утечки информации с использованием копирования ее на съемные носители;	0	2	0	5	5	5	5	2	5
угроза утечки данных посредством печати информации, содержащей персональные данные;	0	2	0	2	5	5	5	2	2
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	0	2	2	2	2	2	2	0	2
угроза внедрения вредоносных программ с использованием съемных носителей	5	5	5	2	2	2	2	2	2
угроза "Анализа сетевого трафика"	2	0	0	2	2	2	0	0	2
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др	2	0	0	2	2	2	0	0	2
угроза обхода системы идентификации и аутентификации сообщений	0	0	0	0	0	0	2	0	0
угроза обхода системы идентификации и аутентификации сетевых объектов	0	2	2	2	2	2	2	0	2
угроза внедрения ложного объекта сети	2	2	2	2	2	2	0	0	2
угроза навязывания ложного маршрута	0	2	2	0	2	2	0	0	2
угроза перехвата и взлома паролей	0	0	2	0	2	2	2	0	2
угроза подбора паролей доступа	2	2	2	2	2	2	2	0	2
угроза типа "Отказ в обслуживании"	2	0	0	0	2	2	0	0	2
угроза внедрения троянских программ	2	0	0	2	2	2	0	0	2
угроза атаки типа "переполнение буфера";	2	0	0	2	2	2	2	0	2
угроза удаленного запуска приложений с использованием средств удаленного управления	0	0	0	0	2	2	2	0	0
угроза внедрения вредоносных программ через почтовые сообщения	2	0	0	0	2	2	0	0	0
угроза внедрения вредоносных программ через обмен и загрузку файлов	2	0	0	2	2	2	0	0	2
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	2	0	0	2	2	2	0	0	2

Таблица 5.

Угроза безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации угрозы
угроза модификации базовой системы ввода/вывода (BIOS),	0,6	средняя
угроза перехвата управления загрузкой	0,5	средняя
угроза НСД с применением стандартных функций операционной системы	0,6	средняя
угроза НСД с помощью прикладной программы	0,6	средняя
угроза НСД с применением специально созданных для этого программ	0,5	средняя
угроза НСД при передаче информации по внешним каналам	0,5	средняя
угроза утечки информации при удаленном доступе к информационным ресурсам	0,5	средняя
угроза утечки информации с использованием копирования ее на съемные носители;	0,75	высокая
угроза утечки данных посредством печати информации, содержащей персональные данные;	0,6	средняя
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	0,6	средняя
угроза внедрения вредоносных программ с использованием съемных носителей	0,6	средняя
угроза "Анализа сетевого трафика"	0,6	средняя
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	0,6	средняя
угроза обхода системы идентификации и аутентификации сообщений	0,5	средняя
угроза обхода системы идентификации и аутентификации сетевых объектов	0,6	средняя
угроза внедрения ложного объекта сети	0,6	средняя
угроза навязывания ложного маршрута	0,6	средняя
угроза перехвата и взлома паролей	0,6	средняя
угроза подбора паролей доступа	0,6	средняя
угроза типа "Отказ в обслуживании"	0,6	средняя
угроза внедрения троянских программ	0,6	средняя
угроза атаки типа "переполнение буфера";	0,6	средняя
угроза удаленного запуска приложений с использованием средств удаленного управления	0,5	средняя
угроза внедрения вредоносных программ через почтовые сообщения	0,5	средняя
угроза внедрения вредоносных программ через обмен и загрузку файлов	0,6	средняя
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	0,6	средняя

Таблица 6.1

Угроза безопасности ПДн	Опасность угроз
угроза модификации базовой системы ввода/вывода (BIOS),	низкая
угроза перехвата управления загрузкой	низкая
угроза НСД с применением стандартных функций операционной системы	средняя
угроза НСД с помощью прикладной программы	низкая
угроза НСД с применением специально созданных для этого программ	низкая
угроза НСД при передаче информации по внешним каналам	средняя
угроза утечки информации при удаленном доступе к информационным ресурсам	средняя
угроза утечки информации с использованием копирования ее на съемные носители;	высокая
угроза утечки данных посредством печати информации, содержащей персональные данные;	высокая
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	низкая
угроза внедрения вредоносных программ с использованием съемных носителей	средняя
угроза "Анализа сетевого трафика"	средняя
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	низкая
угроза обхода системы идентификации и аутентификации сообщений	низкая
угроза обхода системы идентификации и аутентификации сетевых объектов	низкая
угроза внедрения ложного объекта сети	низкая
угроза навязывания ложного маршрута	низкая
угроза перехвата и взлома паролей	низкая
угроза подбора паролей доступа	высокая
угроза типа "Отказ в обслуживании"	низкая
угроза внедрения троянских программ	средняя
угроза атаки типа "переполнение буфера"	низкая
угроза удаленного запуска приложений с использованием средств удаленного управления	низкая
угроза внедрения вредоносных программ через почтовые сообщения	низкая
угроза внедрения вредоносных программ через обмен и загрузку файлов	низкая
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	низкая

Таблица 6.2

Угроза безопасности ПДн	Опасность угроз
угроза модификации базовой системы ввода/вывода (BIOS),	низкая
угроза перехвата управления загрузкой	низкая
угроза НСД с применением стандартных функций операционной системы	средняя
угроза НСД с помощью прикладной программы	высокая
угроза НСД с применением специально созданных для этого программ	низкая
угроза НСД при передаче информации по внешним каналам	средняя
угроза утечки информации при удаленном доступе к информационным ресурсам	средняя
угроза утечки информации с использованием копирования ее на съемные носители;	высокая
угроза утечки данных посредством печати информации, содержащей персональные данные;	средняя
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	низкая
угроза внедрения вредоносных программ с использованием съемных носителей	средняя
угроза "Анализа сетевого трафика"	средняя
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	низкая
угроза обхода системы идентификации и аутентификации сообщений	низкая
угроза обхода системы идентификации и аутентификации сетевых объектов	низкая
угроза внедрения ложного объекта сети	низкая
угроза навязывания ложного маршрута	средняя
угроза перехвата и взлома паролей	высокая
угроза подбора паролей доступа	высокая
угроза типа "Отказ в обслуживании"	низкая
угроза внедрения троянских программ	средняя
угроза атаки типа "переполнение буфера"	низкая
угроза удаленного запуска приложений с использованием средств удаленного управления	высокая
угроза внедрения вредоносных программ через почтовые сообщения	низкая
угроза внедрения вредоносных программ через обмен и загрузку файлов	низкая
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	низкая

Таблица 7.

Возможность реализации угрозы	Показатель опасности угрозы
Возможность реализации угрозы	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Таблица 8.1

Угроза безопасности ПДн	Актуальность угрозы
угроза модификации базовой системы ввода/вывода (BIOS)	неактуальная
угроза перехвата управления загрузкой	неактуальная
угроза НСД с применением стандартных функций операционной системы	актуальная
угроза НСД с помощью прикладной программы	неактуальная
угроза НСД с применением специально созданных для этого программ	неактуальная
угроза НСД при передаче информации по внешним каналам	актуальная
угроза утечки информации при удаленном доступе к информационным ресурсам	актуальная
угроза утечки информации с использованием копирования ее на съемные носители	актуальная
угроза утечки данных посредством печати информации, содержащей персональные данные;	актуальная
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	неактуальная
угроза внедрения вредоносных программ с использованием съемных носителей	актуальная
угроза "Анализа сетевого трафика"	актуальная
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	неактуальная
угроза обхода системы идентификации и аутентификации сообщений	неактуальная
угроза обхода системы идентификации и аутентификации сетевых объектов	неактуальная
угроза внедрения ложного объекта сети	неактуальная
угроза навязывания ложного маршрута	неактуальная
угроза перехвата и взлома паролей	неактуальная
угроза подбора паролей доступа	актуальная
угроза типа "Отказ в обслуживании"	неактуальная
угроза внедрения троянских программ	актуальная
угроза атаки типа "переполнение буфера";	неактуальная
угроза удаленного запуска приложений с использованием средств удаленного управления	неактуальная
угроза внедрения вредоносных программ через почтовые сообщения	неактуальная
угроза внедрения вредоносных программ через обмен и загрузку файлов	неактуальная
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	неактуальная

Таблица 8.2

Угроза безопасности ПДн	Актуальность угроз
угроза модификации базовой системы ввода/вывода (BIOS)	неактуальная
угроза перехвата управления загрузкой	неактуальная
угроза НСД с применением стандартных функций операционной системы	актуальная
угроза НСД с помощью прикладной программы	актуальная
угроза НСД с применением специально созданных для этого программ	неактуальная
угроза НСД при передаче информации по внешним каналам	актуальная
угроза утечки информации при удаленном доступе к информационным ресурсам	актуальная
угроза утечки информации с использованием копирования ее на съемные носители	актуальная
угроза утечки данных посредством печати информации, содержащей персональные данные;	актуальная
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	неактуальная
угроза внедрения вредоносных программ с использованием съемных носителей	актуальная
угроза "Анализа сетевого трафика"	актуальная
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	неактуальная
угроза обхода системы идентификации и аутентификации сообщений	неактуальная
угроза обхода системы идентификации и аутентификации сетевых объектов	неактуальная
угроза внедрения ложного объекта сети	неактуальная
угроза навязывания ложного маршрута	актуальная
угроза перехвата и взлома паролей	актуальная
угроза подбора паролей доступа	актуальная
угроза типа "Отказ в обслуживании"	неактуальная
угроза внедрения троянских программ	актуальная
угроза атаки типа "переполнение буфера";	неактуальная
угроза удаленного запуска приложений с использованием средств удаленного управления	актуальная
угроза внедрения вредоносных программ через почтовые сообщения	неактуальная
угроза внедрения вредоносных программ через обмен и загрузку файлов	неактуальная
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	неактуальная

______________________________

* "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации". N 149/54-144, 2008 г. ФСБ России; "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных". N 149/6/6-622, 2008 г., ФСБ России

** "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г.), раздел 1.

*** Стеганография - искусство прятать информацию среди другой информации.

Приложение N 2

Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог"
(утв. приказом Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@)

I. Введение

Настоящая Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог" предназначена для определения необходимого уровня криптозащиты информации конфиденциального характера, а также иной защищаемой в соответствии с законодательством Российской Федерации информации в процессе ее обработки и передачи по перехватываемым общедоступным каналам связи между типовыми объектами АИС "Налог". Данный документ включает в себя:

общее описание модели актуальных угроз для системы обмена данными внутри типовых объектов информатизации ФНС России и между ними;

общее описание методологии формирования модели нарушителя безопасности информации для системы обмена данными между объектами информатизации;

описание модели нарушителя безопасности информации при её обработке и циркуляции между объектами АИС "Налог".

АИС "Налог" архитектурно представляет собой комплекс типовых объектов, включающих центры обработки данных (хранилищ данных), локальные информационные системы и автоматизированные, в том числе, территориально удаленные рабочие места, объединенных в единую информационную систему средствами связи. С учётом изложенного, необходимость использования криптографических методов защиты информации возникает, в первую очередь, при обмене данными между типовыми объектами АИС "Налог", осуществляемого по общедоступным каналам связи, не защищенным от несанкционированного доступа к ним с целями нарушения конфиденциальности, целостности и/или модифицирования нарушителями информационной безопасности (например, при передаче персональных данных по информационно-телекоммуникационным сетям общего пользования).

Модель нарушителя содержит описание предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак с целью нарушения заданных характеристик безопасности защищаемой криптосредствами информации или с целью создания условий для этого, а также об ограничениях на эти возможности.

Разработка Модели актуальных угроз и Модели нарушителя осуществлялась в соответствии методическими нормативными документами ФСБ России и ФСТЭК России:

"Методические рекомендациями по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (ФСБ России, N 149/54-144, 2008 г.);

Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 15.02.2008;

Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК России 14.02.2008;

Кроме того, при разработке настоящей Модели нарушителя учтены результаты моделирования угроз безопасности персональных данных, иной защищаемой в соответствии с законодательством Российской Федерации информации при её обработке и циркуляции в информационных системах персональных данных типовых объектов информатизации АИС "Налог".

II. Цель моделирования

Целью построения данной Модели нарушителя является определение типа возможного нарушителя, который может осуществлять целенаправленные действия с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации конфиденциального характера (информации, содержащей персональные данные или сведения, составляющие налоговую тайну) или с целью создания условий для этого.

Модель нарушителя основывается на результатах моделировании актуальных угроз безопасности информации, циркулирующей по линиям связи как внутри типовых объектов информатизации АИС "Налог", так и между ними, а также описывает действия нарушителей, представляющих потенциальную опасность в отношении самих средств криптографической защиты, шифрключей и другой криптографически опасной информации для них, а также информации конфиденциального характера, защищаемой с помощью этих средств.

Результаты моделирования предназначены для определения требуемого уровня криптографической защиты циркулирующей в АИС "Налог" информации конфиденциального характера, при её передаче по перехватываемым и/или подверженных иному деструктивному воздействию нарушителя каналам связи и, как следствие, определения класса защиты применяемых в системе криптосредств.

Применение средств криптографической защиты соответствующего класса позволит обеспечить требуемый уровень конфиденциальности и целостности информации конфиденциального характера, передаваемой по общедоступным каналам связи между объектами АИС "Налог".

III. Исходные данные

В качестве исходных данных для построения Модели нарушителя использованы:

Пояснительная записка к техническому проекту "Модернизация и внедрение архитектуры информационной системы ФНС России (II очередь, 2008 год). Система информационной безопасности";

Дополнение N 3 к Техническому заданию на СОБИ АИС "Налог";

результаты обследования информационно-телекоммуникационной инфраструктуры типовых объектов информатизации ФНС России федерального, регионального и местного уровней;

материалы "Проекта модернизации архитектуры информационной системы ФНС России. Книга 1. Описание существующей архитектуры АИС Налог" Части 1 - 11;

результаты аудита IT-инфраструктуры ФЦОД (2010 г.);

результаты аудита ИБ шести управлений ФНС России по субъекту Российской Федерации (2008-2010 г.г.);

Концепция построения СОБИ АИС "Налог" (проект);

результаты аудита ИС сегмента МИ ФНС по ЦОД АИС "Налог";

"Методические рекомендации по организации электронного документооборота при представлении налоговых деклараций (расчетов) в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 02.11.2009 г. N ММ-7-6/534@);

IV. Объект моделирования

Объектом моделирования нарушителя безопасности конфиденциальной информации, в том числе персональных данных, циркулирующих в линиях связи в АИС "Налог", являлись возможные деструктивные действия указанного нарушителя, которые могут привести к нарушению конфиденциальности или целостности защищаемой информации конфиденциального характера в случае её передачи по линиям связи как внутри типовых объектов информатизации АИС "Налог", так и между ними.

К объектам защиты в контексте настоящей Модели относятся информационные ресурсы конфиденциального характера, обрабатываемые в АИС "Налог" (информация, содержащая персональные данные, и сведения, составляющие налоговую тайну).

V. Назначение АИС "Налог"

АИС "Налог" предназначена для автоматизации основных деловых процессов налогового администрирования и контроля за соблюдением действующего налогового законодательства, осуществляемых Федеральной налоговой службой в соответствии с законодательством Российской Федерации, а также автоматизации обеспечивающих функций (материально-техническое снабжение органов ФНС, управление персоналом и др.).

5.1. Информационные потоки и каналы связи АИС "Налог"

5.1.1 Модель информационного взаимодействия

Объектами информатизации, на которых осуществляется обработка и хранение информации и которые участвуют в обмене конфиденциальными данными по перехватываемым линиям связи являются подразделения Федеральной налоговой службы в составе:

Центрального аппарата ФНС России;

МИ ФНС России по централизованной обработке данных;

МИ ФНС России по крупнейшим налогоплательщикам;

МИ ФНС России по федеральным округам;

УФНС России по субъектам Российской Федерации;

инспекций ФНС России по районам, районам в городах, городам без районного деления;

межрайонных инспекций ФНС России;

МРИ ФНС России по централизованной обработке данных.

Вместе с тем, согласно приказу Министерства Финансов Российской Федерации от 18.01.2008 г N 9н "Об утверждении Административного регламента Федеральной налоговой службы по исполнению государственной функции по бесплатному информированию (в том числе в письменной форме) налогоплательщиков, плательщиков сборов и налоговых агентов о действующих налогах и сборах, законодательстве о налогах и сборах и принятых в соответствии с ним нормативных правовых актах, порядке исчисления и уплаты налогов и сборов, правах и обязанностях налогоплательщиков, плательщиков сборов и налоговых агентов, полномочиях налоговых органов и их должностных лиц, а также представлению форм налоговых деклараций (расчетов) и разъяснению порядка их заполнения", Федеральной налоговой службой разработан и введен в действие ряд нормативных документов, устанавливающих порядок организации взаимодействия между налоговыми органами и налогоплательщиками в электронном виде по телекоммуникационным каналам связи, в том числе:

Указанные документы устанавливают:

перечень электронных документов и порядок организации информационного взаимодействия налогоплательщика и налогового органа по каналам связи напрямую или через спецоператора связи в зашифрованном виде, с использованием сертифицированных установленным порядком шифровальных средств;

возможность взаимодействия налогоплательщиков, в том числе и физических лиц, с налоговыми органами, в которых они состоят на учете, а также по месту нахождения принадлежащего им недвижимого имущества и иным основаниям, предусмотренным Налоговым кодексом РФ, в режиме удаленного доступа, с использованием общедоступных (т.е. подверженных перехвату или иным деструктивным воздействиям) IP- и/или коммутируемых каналов связи.

"Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" не только устанавливают виды информационных услуг, которые предоставляются налогоплательщикам, но и содержат перечень форматов документов, формируемых налоговыми органами в ответ на их запросы в автоматическом режиме (п. 2.7 указанного документа). Таким образом, данный документ по существу признает удаленные терминалы доступа налогоплательщиков элементом АИС "Налог". Последнее означает, что приведенный в выше перечень налоговых органов, которые могут участвовать в информационном обмене конфиденциальными данными (в том числе и персональными данными) должен быть дополнен удаленными терминалами пользователей, не являющихся работниками налоговых органов, но являющихся легальными пользователями АИС "Налог". Кроме того, с учетом положений п. 2.8 упомянутых "Методических рекомендаций…", такие пользователи-налогоплательщики могут иметь удаленный доступ с использованием перехватываемых каналов связи к информационным ресурсам сразу нескольких типовых объектов информатизации ФНС России различного уровня.

С учётом изложенного, при построении настоящей Модели в дополнение к результатам моделирования угроз, приведённых в Моделе угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных типового объекта информатизации ФНС России, дополнительно должны быть учтены угрозы, обусловленные особенностями организации электронного документооборота между налоговыми органами и налогоплательщиками, регламентированного "Методическими рекомендациями по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22.06.2011 N ММВ-7-6/381@).

Модель информационного взаимодействия налоговых органов различного уровня, учитывающая особенности электронного документооборота между налоговыми органами и налогоплательщиками, приведена на Рис. 1.

На основе анализа выполняемых задач по обработке данных структурными подразделениями ФНС России можно провести группирование объектов. Типовые объекты обработки данных и применяемые технологии информационного взаимодействия между ними приведены в Таблице 1.

Информационное взаимодействие налоговых органов осуществляется:

между структурными подразделениями налогового органа - в пределах одного налогового органа;

между налоговыми органами ФНС России различного уровня;

между налоговым органом и другими организациями и ведомствами, включая налогоплательщиков, и физическими лицами.

Информационное взаимодействие между структурными подразделениями одного налогового органа представлено обменом документами на бумажных носителях, электронными образами этих документов и электронными документами. Обмен файлами документов осуществляется по ЛВС, используя систему электронного документооборота (СЭД), средства внутренней электронной почты, веб-доступ к ресурсам сети, совместно используемые каталоги файловых систем, FTP-обмен, доступ к базам данных налогового администрирования.

Обмен между различными налоговыми органами, между налоговыми органами и организациями иного ведомственного подчинения, между налоговыми органами и иными организациями и лицами (например, налогоплательщиками), а также доступ этих внешних организаций и лиц к базам данных налоговых органов в целях формирования запросов и получения ответов в автоматическом режиме осуществляется с использованием общедоступных перехватываемых и/или подверженных внешним деструктивным воздействиям телекоммуникационным каналам.

Информационное взаимодействие между налоговыми органами осуществляется как по вертикали иерархии организационного подчинения, так и по горизонтали. Обусловлено это тем, что иерархия функций налогового администрирования включает в себя административные, методические, плановые, контрольно-аналитические процессы, учет платежей, проведение выездных поверок, мониторинг недоимок и др., которые требуют в общем случае организации как вертикальных (восходящих и нисходящих), так и горизонтальных информационных потоков.

Восходящие информационные потоки в иерархии организационного подчинения ориентированы на решение задач сбора первичных документов и данных, их обобщения и формирования региональных и федеральных информационных ресурсов.

Нисходящие информационные потоки в иерархии организационного подчинения обеспечивают распространение нормативных документов, нормативно - справочной информации, версий типового программного обеспечения, обеспечивающих единую политику налогового администрирования, информации из региональных и федеральных ресурсов.

Наличие горизонтальных связей в рамках информационного взаимодействия обусловлены необходимостью обмена информацией между налоговыми органами одного уровня, например, передачи данных о налогоплательщиках между ИФНС России.

Информационное взаимодействие между налоговыми органами представлено обменом информацией, электронными документами и документами на бумажных носителях (доставка курьерами) и электронными образами этих документов (с использованием каналов связи) в соответствии с порядками, регламентами и протоколами по обмену информацией. Для обмена по каналам связи используются системы электронного документооборота, электронной почты, Web-доступа, FTP-обмен, доступ к базам данных налогового администрирования (информационным ресурсам).

ФНС России должна также взаимодействовать с налогоплательщиками, органами государственной власти и государственного управления, с регистрирующими органами, финансово-кредитными и другими организациями всех уровней. Информационный обмен с внешними организациями и ведомствами организуется по каналам связи и/или на электронных или бумажных носителях в соответствии с соглашениями, регламентами и протоколами по обмену информацией и с учетом готовности этих органов к обмену с применением современных средств вычислительной техники. Информационный обмен с налогоплательщиками осуществляется в соответствии с нормативными актами ФНС России*(1). Данный обмен может осуществляться, как непосредственно между налоговыми органами и налогоплательщиками, так и с использованием услуг спецоператоров связи.

ФНС России осуществляет взаимодействие со следующими организациями, органами государственной власти и управления:

Управление делами Президента Российской Федерации;

Аппарат Совета Федерации Федерального Собрания Российской Федерации;

Центральная избирательная комиссия Российской Федерации;

Министерство внутренних дел Российской Федерации;

Федеральная миграционная служба;

Федеральная таможенная служба;

Федеральная служба государственной регистрации, кадастра и картографии;

Федеральная служба государственной статистики;

Федеральная служба по финансовому мониторингу;

Федеральная служба финансово-бюджетного надзора;

Федеральная служба судебных приставов;

Федеральное агентство водных ресурсов;

Федеральное агентство по недропользованию;

Федеральное агентство по управлению государственным имуществом;

Федеральное агентство по рыболовству;

Счетная палата РФ;

Федеральное казначейство;

Банк России;

Сбербанк;

Пенсионный фонд России;

Фонд социального страхования;

Федеральный фонд обязательного медицинского страхования;

Органы (организации) технической инвентаризации;

Органы местного самоуправления;

Другие органы государственной власти и управления.

5.1.2 Описание (классификация) каналов связи между типовыми объектами АИС "Налог"

Используемые в информационных системах ФНС России технологии взаимодействия при обработке информационных ресурсов включают:

электронную почту (протокол SMTP);

электронный обмен файлами (протокол FTP);

обмен файлами в формате XML;

Web-доступ к ресурсам сети (протокол HTTP/ HTML);

технологию терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA);

публикацию информации о функциональных сервисах и электронный обмен сообщениями и документами (протоколы SOAP/XML, UDDI, WSDL, WSFL);

репликацию баз данных (служба репликации DFS/FRS).

Обмен информацией осуществляется:

внутри типовых объектов - по линиям связи локальных вычислительных сетей (кабельные, волоконно-оптические, беспроводные), проходящим в границах объекта информатизации с использованием программных и технических средств ЛВС в соответствии с транспортными протоколами обмена информацией между абонентами (пользователями) локальных ;

между типовыми объектами информатизации ФНС России (территориально удаленными сегментами АИС "Налог", включая терминалы доступа налогоплательщиков) - средствами связи с использованием связных протоколов (например, сетевого протокола TC/IP) по выделенным или общедоступным линиям связи, выходящим за границы объектов и подверженным перехвату и/или иным деструктивным воздействиям со стороны нарушителей информационной безопасности;

между типовыми объектами информатизации (структурными подразделениями) ФНС России и информационными системами внешних организаций и ведомств - средствами связи с использованием связных протоколов по выделенным или общедоступным линиям связи, выходящим за границы объектов информатизации, подверженным перехвату и/или иным деструктивным воздействиям со стороны нарушителей информационной безопасности, в соответствии с нормативными актами Российской Федерации, а также соглашениями и протоколами по обмену информацией с указанными структурами.

При этом данные, передаваемые по каналам связи, выходящим за пределы контролируемой зоны типовых объектов информатизации, защищаются при необходимости криптографическими средствами, а информационные ресурсы АИС "Налог" защищаются от несанкционированного воздействия со стороны общедоступных информационных и телекоммуникационных систем средствами межсетевого экранирования. Функциональные сегменты АИС, располагаемые в одной контролируемой зоне, разделяются с использованием средств межсетевого экранирования. Количество точек сопряжения одного сегмента с другими выбирается минимально необходимым (ограниченным). Регламентация межсегментного обмена информацией достигается применением заданной политики доступа на комплексах средств защиты информации

5.2 Информационные ресурсы АИС "Налог"

Под информационными ресурсами в ФНС России понимаются совокупность сведений в электронном виде (база данных, электронная библиотека, реестр, кадастр, фонд, архив и другие виды информационных массивов), поддерживаемых программно-техническими средствами АИС "Налог". Информационные ресурсы размещаются в хранилищах данных налоговых органов, из которых путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок.

Информационные ресурсы созданы на основе информации, получаемой инспекциями местного уровня от налогоплательщиков, отчетной информации инспекций местного и регионального уровней об их деятельности и выполненных работах по сбору налогов и платежей, информации, получаемой из федеральных органов государственной власти, внебюджетных фондов и других источников, а также собственной информации ЦА ФНС России.

Информационные ресурсы в ФНС России разделяются на 4 основные группы:

информационные ресурсы по государственной регистрации и учету юридических и физических лиц;

информационные ресурсы по формам налоговой отчетности, ежегодно утверждаемым приказом ФНС России;

информационные ресурсы, формируемые на основе сведений, получаемых из внешних источников;

вспомогательные информационные ресурсы.

Наиболее важными с точки зрения обеспечения выполнения функций, возложенных на органы ФНС, являются следующие информационные ресурсы:

ЕГРН - единый государственный реестр налогоплательщиков;

ЕГРЮЛ - единый государственный реестр юридических лиц;

ЕГРИП - единый государственный реестр индивидуальных предпринимателей;

другие базы данных, а именно: "Банковские счета"; "Сведения о физических лицах"; "Недействительные паспорта"; "Статистическая налоговая отчетность"; "База данных об объемах производства и оборота этилового спирта и алкогольной продукции"; "Таможня"; "Пересечение границы"; "Суды"; "Кадры"; "НДС".

Основным источником информации для наполнения первичных баз данных АИС "Налог" являются документы и сообщения, поступающие от структурных подразделений ФНС России, налогоплательщиков и внешних организаций.

Защищаемые ИР по степени ограничения доступа к ним подразделяются на ИР, содержащие:

информацию, не содержащую сведения, составляющие государственную тайну, но имеющую конфиденциальный характер (т.е. информацию ограниченного доступа), в отношении которой должно выполняться требование обеспечения конфиденциальности, целостности и доступности (ИР, содержащие персональные данные или сведения, отнесённые к налоговой тайне). Особенностью защищаемых информационных ресурсов конфиденциального характера является то, что, как правило, они одновременно содержат сведения, отнесённые к разным видам конфиденциальной информации, а также и к общедоступной информации. Так, например, информация, составляющая налоговую тайну физического лица, одновременно будет являться и его персональными данными, а в государственных реестрах ЕГРЮЛ, ЕГРИП или ЕГРН содержатся сведения (персональные данные), отнесённые законодательством к общедоступным, а также персональные данные, в отношении которых требуется обеспечить конфиденциальность;

общедоступную информацию (открытые ИР), в отношении которой должно выполняться требование обеспечения целостности и доступности.

Характер информационных ресурсов, обрабатываемых на объектах АИС "Налог" по степени ограничения доступа к ним, представлен в таблице 2.

Информационное и функциональное взаимодействие узлов АИС "Налог" ФНС России осуществляется на основе интегрированных (логически единых) баз данных, обеспечивающих должностных лиц структурных подразделений ФНС России, а также подключенных налогоплательщиков (их представителей) требуемой информацией. Поэтому информационные потоки между типовыми объектами АИС "Налог" всех уровней могут содержать все перечисленные в табл. 2 виды ИР, однако информационные потоки между объектами федерального, регионального и местного уровней отличаются в объёме передаваемых данных (степени их обобщения: соответственно за Российскую Федерацию в целом, регион или территориально - административные образования местного уровня).

Как правило, формируемые и обрабатываемые в органах ФНС России отдельные информационные ресурсы, одновременно содержат перечисленные в таблице 2 виды информационных ресурсов, в том числе содержащие информацию конфиденциального характера (т.е. ограниченного доступа), а также сведения, отнесенные законодательством к общедоступной информации, и разделение их при передаче по каналам связи на отдельные категории невозможно.

Как следует из изложенного выше, информационные ресурсы, циркулирующие в АИС "Налог" с точки зрения категорирования информации, в принципе, не содержат сведений, составляющих государственную тайну, или иные несекретные, но государственно значимые сведения, разглашение которых может нанести ущерб обществу или государству в целом. Что практически исключает проявление интереса к этим ресурсам и обмену данными, осуществляемому по перехватываемым каналам связи в АИС "Налог", со стороны специальных служб зарубежных стран.

Вместе с тем, совокупность налоговых данных о юридических и физических лиц, содержащаяся в БД налоговых органов и собираемая в силу исполнения возложенных на эти органы государственных функций, не могут быть получены другими организациями и частными физическими лицами законным путем из единого источника. Кроме того, указанные налоговые и фактические данные о налогоплательщиках, физических и юридических лицах, накапливаемые и обрабатываемые в АИС "Налог", являются базой для начисления собственно налогов на налогоплательщиков, а также базой для осуществления перекрестных проверок выплат, осуществляемых этими плательщиками. В связи с этим, нарушение конфиденциальности налоговых сведений, обрабатываемых, хранимых и передаваемых по линиям связи как внутри объектов типовых информатизации, так и между ними может нанести ощутимый материальный и моральный ущерб субъектам этих данных. Аналогичным образом, несанкционированное нарушение целостности или модифицирование конкретных налоговых сведений может привести к невозможности осуществления налоговой службой своих государственных функций в должном (или даже полном) объеме. Кроме того, нарушение целостности, модифицирование или несанкционированное уничтожение налоговых сведений, в процессе их обработки, хранения и/или передачи по каналам связи может нанести также ущерб и владельцам этих данных.

Из изложенного следует, что нарушение конфиденциальности, доступности и/или целостности налоговых данных, циркулирующих в АИС "Налог", как правило, может осуществляться с корыстными целями, в том числе и самими налогоплательщиками, для сокрытия полученных доходов от налогообложения, сокрытия незаконных доходов, использования в целях извлечения нелегальных доходов, использования или передачи другому лицу производственной или коммерческой тайны налогоплательщика*(2) и т.д.

5.3 Архитектура АИС "Налог"

Информационная система АИС "Налог" обеспечивает автоматизированный сбор, учет, обработку, обобщение, анализ налоговой информации и поддержку принятия решений в налоговых процессах. Важнейшей задачей обработки налоговой информации в АИС "Налог" являются сбор данных от разнообразных источников, её обработка, агрегирование, классификация, подготовка к хранению и дальнейшей обработке, формирование в регламентном режиме и по отдельным запросам массивов информации, сводок и отчетов и их предоставление сотрудникам и руководству министерства.

АИС "Налог" объединяет в единое информационное пространство России множество информационных подсистем центрального аппарата, управлений ФНС России по субъектам Российской Федерации и местных налоговых инспекций. Основной задачей АИС "Налог" является обеспечение поддержки принятия решений при выполнении работниками ФНС России функций налогового администрирования путем предоставления информационных, справочных, аналитических и иных услуг.

Для обеспечения возложенных на ФНС России функций АИС "Налог" осуществляет поддержку процессов информационного взаимодействия с налогоплательщиками (физическими и юридическими лицами), а также с корпоративными информационными системами органов государственной власти, регистрирующих и лицензирующих органов.

Архитектура АИС "Налог" строится на следующих принципах:

- АИС "Налог" строится как многоуровневая территориально-распределенная система обработки налоговой информации, включающая в качестве составных частей:

1) корпоративные информационные системы типовых узлов федерального (Центральный аппарат, МИ ЦОД, МИ КНП), регионального (УФНС, МРИ ЦОД, МИ ФО) и местного уровней (ИФНС, МРИ КНП);

2) систему обеспечения информационной безопасности;

3) систему мониторинга и управления;

4) систему телекоммуникаций (СТК).

- архитектурные уровни АИС "Налог", обеспечивающие сбор, обработку и передачу налоговой информации, учитывают иерархическую структуру, как территориального деления России, так и структуру организационного деления ФНС России, и компонуются в единую сетецентрическую систему, поддерживаемую с помощью системного каталога;

- одним из основных архитектурных принципов построения среды обработки налоговой информации в АИС "Налог" является создание инфраструктуры на базе совокупности типовых узлов обработки данных - основного звена аналитической обработки информации, поступающей от налогоплательщиков и удаленных структурных подсистем АИС "Налог";

- региональные узлы АИС "Налог" являются типовыми элементами системы, используют построенную по единым архитектурным принципам программно-техническую среду, унифицированную технологию работы с информационными ресурсами и объединяются в единую систему средствами высокоскоростной транспортной сети;

- средства автоматизации МРИ ЦОД и МИ ЦОД совместно с аналитическими информационными системами подразделений реализуют функции распределенного информационного ядра среды аналитической обработки налоговой информации АИС "Налог";

- структурная подсистема АИС "Налог", автоматизирующая деятельность МРИ ЦОД (далее - узел МРИЦОД) выполняет функции федерального центра обработки данных, обеспечивающего деятельность ЦА ФНС России и территориальных органов ФНС России, а также поддерживающего информационное взаимодействие с внешними организациями;

- узел МИ ФНС России по ЦОД является центром оперативного управления всей информационной системой ФНС России и центром консолидации, хранения и обработки федеральных информационных ресурсов и информационных хранилищ в масштабе страны. Соответственно, узел МРИЦОД обеспечивает все действия, связанные с ведением этих ресурсов, получением и наполнением их из данных регламентной отчетности узлов МИЦОД, УФНС и других источников информации;

на региональном уровне находятся узлы УФНС России по субъектам Российской Федерации, которые взаимодействуют с МИЦОД (при их наличии), с узлами межрегиональных инспекций по федеральным округам (МИФО), разнообразными внешними организациями в своих регионах, а также - с узлами инспекций ФНС и налогоплательщиками своего региона. Все взаимодействия узлов регионального уровня с внешними объектами осуществляется в бесконтактной электронной форме;

МИЦОД является универсальным центром обработки данных и обеспечивает функции центра массовой обработки и хранения бумажных документов, центра консолидации и хранения реплики федеральных информационных ресурсов и информационных хранилищ по своему региону, центра информационного обмена с региональными внешними организациями и центра информационной поддержки налогоплательщиков своего региона;

Структурные подсистемы АИС "Налог", автоматизирующие деятельность ЦА ФНС России, МИ ФНС России по КНП, УФНС России и МИ ФНС России по ФО представляют собой локальные сети соответствующих структурных подразделений, использующие федеральные и региональные информационные ресурсы ФНС России, организованные в виде баз данных и информационных хранилищ.

5.4 Пользователи АИС "Налог"

Пользователями АИС "Налог", непосредственно осуществляющими обработку информации, являются:

пользователи информационных ресурсов ФНС России - работники структурных подразделений ФНС России;

обслуживающий персонал (системные администраторы, администраторы АС, администраторы баз данных, инженеры);

сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;

налогоплательщики, имеющие легальный удаленный доступ со своих терминалов доступа к устройствам обработки и хранения информации налоговых органов по каналам связи из-за пределов контролируемой зоны объектов информатизации ФНС России.

5.5 Доступ к информационным ресурсам АИС "Налог"

Прямой доступ к ИР возможен у следующих групп пользователей АИС "Налог":

работников МИ ФНС России по ЦОД, занимающихся установкой и администрированием ПО, используемого для работы с ИР.

работников МИ ФНС России по ЦОД, занимающихся анализом информации, содержащейся в БД с прямым доступом к БД;

работников МИ ФНС России по ЦОД, осуществляющих прямое копирование информации с полученных/на отправляемые диски CD-R/CD-RW;

работников МИ ФНС России по ЦОД, занимающихся загрузкой (выгрузкой) данных в (из) федеральные базы данных прямым копированием.

Терминальный доступ к ИР возможен у работников ФНС России, занимающихся загрузкой и выгрузкой информации через терминалы.

Удаленный доступ к ИР возможен у следующих групп пользователей:

работников МИ ФНС России по ЦОД, занимающихся анализом сведений, содержащихся в БД, и предоставлением сведений по запросам ЦА ФНС России через WEB-интерфейс;

работники подразделений ФНС России, которым в установленном порядке предоставлен доступ к ИР для выполнения служебных обязанностей.

Порядок предоставления услуги удаленного доступа к федеральным информационным ресурсам, сопровождаемым МИ ФНС России по ЦОД, в настоящее время регламентируется приказом ФНС России от 28.12.2004 N САЭ-3-13/182 "О порядке получения услуги удаленного доступа к информационным ресурсам, сопровождаемым МРИ ЦОД ФНС России" и приказом ФНС России от 12.07.2005 г. N САЭ-3-13/317 "О внесении изменений в приказ ФНС России от 28.12.2004 г. N САЭ-3-13/182 "О порядке получения услуги удаленного доступа к информационным ресурсам, сопровождаемым МРИ ЦОД ФНС России".

Разработанные "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" не содержат прямых указаний по порядку реализации удаленного доступа налогоплательщиков к информации, содержащейся в БД ФНС России. Также не описан порядок реализации автоматического формирования из данных ИР налоговых органов ответов на запросы налогоплательщиков.

Вместе с тем безусловное требование упомянутого выше нормативного документа ФНС России о формировании ответов на запросы налогоплательщиков в автоматическом режиме, дает основание предполагать, что налогоплательщики имеют (или будут в перспективе иметь) прямой удаленный доступ с использованием шифрованного канала к СВТ, обрабатывающим и/или хранящим ИР налоговых органов, в том числе и ИР федерального уровня. Поэтому содержащейся в настоящем разделе перечень групп легальных пользователей обладающими возможностями по удаленному доступу к указанным средствам СВТ и, возможно, информационным ресурсам налоговых органов должен быть дополнен следующей категорией легальных пользователей:

налогоплательщики, в том числе и физические лица, которым налоговыми органами предоставлен удаленный доступ к ИР, для электронного документооборота и получения информационного обслуживания в автоматическом режиме.

VI. Угрозы безопасности информации, обрабатываемой на типовых объектах АИС "Налог"

В настоящем разделе приведен перечень угроз безопасности информации, актуальных для типовых объектов АИС "Налог", которые могут быть реализованы различными категориями нарушителей.

Согласно модели информационного взаимодействия органов ФНС России, перечень актуальных угроз безопасности информации, определенный в соответствии с Моделью угроз и нарушителя безопасности персональных данных при их обработке в информационных системах персональных данных типовых объектов информатизации ФНС России должен быть дополнен дополнительными угрозами, возникающими вследствие возможного удаленного легального доступа недобросовестных налогоплательщиков к СВТ, обрабатывающим и/или хранящим ИР налоговых органов, возможность которого предусматривается в соответствии с "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22.06.2011 N ММВ-7-6/381@).

Дополнительные угрозы ИР налоговых органов, возникающие в связи с реализацией возможного легального удаленного доступа налогоплательщиков по каналам связи к СВТ налоговых органов, обрабатывающим и хранящим информацию, связаны, в первую очередь, с использованием для удалённого доступа перехватываемых (и/или подверженных иному деструктивному воздействию нарушителей информационной безопасности) и не во всех случаях защищаемых общедоступных каналов связи. Указанные угрозы исходят от внешних нарушителей, не имеющих легального доступа к средствам АИС "Налог" и реализующих эти угрозы из-за пределов контролируемой зоны как типовых объектов информатизации ФНС России, так и терминалов удаленного доступа налогоплательщиков, то есть из внешних сетей связи общего пользования. Очевидно, что указанные угрозы связаны исключительно с использованием перехватываемых за пределами КЗ каналов связи и не отличаются от угроз, порождаемых наличием удаленного доступа по каналам связи у части работников налоговых органов, которым в установленном порядке предоставлен доступ к ИР для выполнения служебных обязанностей.

С другой стороны, угрозы безопасности информации могут происходить и от самих налогоплательщиков, которым предоставлены возможности с использованием шифрованного канала связи, который, естественно, имеет доверенный характер, формировать запросы и получать автоматически формируемые ответы из БД налоговых органов. Последнее означает, что такой пользователь имеет легальный доступ к средствам, размещенным внутри объектов информатизации АИС "Налог" с использованием штатных аппаратно-программных средств вычислительной техники и штатных средств защиты информации. Однако при этом, сам налогоплательщик и/или аффилированные с ним лица, могут иметь корыстные цели для нарушения конфиденциальности, целостности и/или доступности налоговых данных, содержащихся в БД налоговых органов.

Поскольку недобросовестный налогоплательщик имеет доступ к программно-техническим средствам налоговых органов, легально используя доверенный канал связи и штатные программно-аппаратные средства самой АИС "Налог", то он должен классифицироваться как внутренний нарушитель безопасности информации системы. Внутренние нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами. При этом предполагается, что на своем уровне такой нарушитель является специалистом высшей квалификации, знает все, как о самой АИС, так, и о средствах ее защиты. Описание определяемых руководящими документами 4-х уровней защиты, содержится в Приложении А к настоящей работе.

Поскольку недобросовестный налогоплательщик может воздействовать на АИС "Налог" только в процессе ее функционирования и по каналам связи, то возможности его воздействия не могут превышать третьего уровня, в соответствии с указанной классификацией. То есть максимально такой нарушитель безопасности информации может получить возможности по управлению АС путем воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Перечень основных угроз, связанных с несанкционированными действиями налогоплательщика, имеющего легальный удаленный доступ к СВТ налоговых органов и возможные последствия реализации этих угроз для безопасности ПДн, содержащихся в ИР налоговых органов, приведен в Таблице 3.

Согласно п.п. 2.7, 2.8 и 2.9 "Методических рекомендаций по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", налогоплательщик может быть подключен с использованием каналов связи к автоматизированным системам следующих типов налоговых органов:

местным органам, в которых налогоплательщик состоит на учете;

местным органам, по территориальному нахождению организации;

местным органам по расположению его обособленных подразделений;

местным органам, по месту жительства;

местным органам по местоположению его недвижимого имущества и транспортных средств его обособленных подразделений;

налоговым органам для крупнейших налогоплательщиков.

Таким образом, реализация угроз, связанных с возможным негативным воздействием пользователей - налогоплательщиков, имеющих легальный удалённый доступ к СВТ налоговых органов, по-видимому, возможна для следующих типовых объектов информатизации ФНС России:

инспекций ФНС России по районам, районам в городах, городам без районного деления;

межрайонных инспекций ФНС России;

УФНС России по субъектам Российской Федерации;

МИ ФНС России по крупнейшим налогоплательщикам.

Перечень актуальных угроз безопасности информации при её обработке для типовых объектов АИС "Налог", связанных с обменом защищаемой информацией между ними с использованием перехватываемых общедоступных каналов связи, разработанный с учётом результатов моделирования, приведен в Таблице 4.

VII. Модель нарушителя безопасности информации при её обработке в АИС "Налог"

7.1 Общее описание нарушителей (субъектов атак)

7.1.1 Содержание модели нарушителя

В контексте настоящей Модели под нарушителем (субъектом атаки) понимается лицо (группа лиц или инициируемый им (ими) процесс), осуществляющее целенаправленные действия (атаку) с использованием технических и (или) программных средств с целью нарушения заданных характеристик безопасности защищаемой криптосредством информации или с целью создания условий для этого.

Модель нарушителя содержит описание предположений о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности.

Нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК. Под этими этапами понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических средств криптосредства и СФК.

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных средств криптосредства и СФК обработка информации конфиденциального характера (персональных данных) не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них. На перечисленных этапах возможны следующие атаки, осуществляемые нарушителем:

внесение негативных функциональных возможностей в технические и программные компоненты криптосредства и СФК, в том числе с использованием вредоносных программ (компьютерные вирусы, "троянские кони" и т.д.);

внесение несанкционированных изменений в документацию на криптосредство и технические и программные компоненты СФК.

Необходимо отметить, что указанные атаки:

на этапах разработки, производства технических и программных средств криптосредства и СФК могут проводиться только вне зоны ответственности ФНС России;

на этапе транспортировки и хранения технических и программных средств криптосредства и СФК могут проводиться как в зоне, так и вне зоны ответственности ФНС России;

на этапе ввода в эксплуатацию технических и программных средств криптосредства и СФК находятся в зоне ответственности ФНС России.

Для блокирования перечисленных атак ФНС России должны быть предусмотрены следующие меры контроля:

соответствия технических и программных средств криптосредства, СФК и документации на эти средства, поступающих в зону ответственности ФНС России, эталонным образцам (например, заказчик, подразделение ФНС, должен требовать от поставщиков гарантий соответствия технических и программных средств криптосредства, СФК и документации на эти средства, поступающих в зону ответственности ФНС, эталонным образцам или наличие в СКЗИ, СФК специализированных механизмов контроля, позволяющих специалистам ФНС установить самостоятельно такое соответствие);

целостности технических и программных средств криптосредств, СФК и документации на эти средства в процессе транспортировки, хранения и ввода в эксплуатацию этих средств с использованием как встроенных механизмов контроля, описанных в документации на криптосредство, так и с использованием общих организационных и организационно-технических мер, разработанных ФНС России в целях обеспечения безопасности информации при её обработке на типовых объектах АИС "Налог" (например, поэкземплярного учета движения СКЗИ и эталонов прикладного ПО и т.д.).

С учётом изложенного в дальнейшем рассматриваются только возможности нарушителя по проведению атак на этапах эксплуатации программных и технических средств криптосредства и СФК, находящихся в зоне ответственности ФНС России.

Атака как целенаправленное действие характеризуется рядом существенных признаков. К этим существенным признакам на этапе эксплуатации технических и программных средств криптосредства и СФК вполне естественно можно отнести:

нарушителя - субъекта атаки;

объект атаки;

цель атаки;

имеющуюся у нарушителя информацию об объекте атаки;

имеющиеся у нарушителя средства атаки;

канал атаки.

К объектам атак на этом этапе относятся следующие объекты:

документация на криптосредство, на технические и программные компоненты СФК;

криптосредство (программные и аппаратные компоненты криптосредства);

ключевая, аутентифицирующая и парольная информация СКЗИ и СФК;

криптографически опасная информация (КОИ), возникающая в процессе работы СКЗИ и СФК;

технические и программные компоненты СФК;

защищаемая информация (персональные данные и сведения, содержащие налоговую тайну);

данные, передаваемые в каналам связи за пределы контролируемой зоны;

помещения, в которых находятся защищаемые ресурсы информационной системы.

Поэтому модель нарушителя для этапа эксплуатации технических и программных средств криптосредства и СФК будет иметь следующую структуру:

описание нарушителей (субъектов атак);

предположения об имеющейся у нарушителя информации об объектах атак;

предположения об имеющихся у нарушителя средствах атак;

описание каналов атак.

7.1.2 Потенциальные нарушители

Как следует из назначения АИС "Налог" и выполняемых ей функций, обрабатываемая в ней и подлежащая защите информация относится к следующим категориям:

информации конфиденциального характера (информация, составляющая налоговую тайну, персональные данные налогоплательщиков и сотрудников ФНС и др.);

общедоступную информацию, в отношении которой необходимо обеспечивать её целостность и доступность (например, основная часть сведений, включаемых в государственные реестры ЕГРЮЛ, ЕГРИП и ЕГРН).

Выводы раздела 5.3 исключают из числа потенциальных нарушителей информационной безопасности АИС "Налог" специальные службы зарубежных государств. Поэтому в дальнейшем, из рассмотрения исключаются потенциальные нарушители, возможности которых ограничиваются только современным уровнем развития науки и техники.

С учётом изложенного выше к нарушителям безопасности информации в АИС "Налог", следует отнести следующих субъектов:

представителей криминальных структур, осуществляющих атаки на информационные ресурсы АИС "Налог" из корыстных побуждений с преступными целями;

недобросовестных представителей организаций - поставщиков программно-технических средств, расходных материалов, услуг и т.п., а также подрядных организаций, осуществляющих монтаж, пусконаладочные работы оборудования АИС и его ремонт, действующих с корыстными побуждениями с преступными целями;

недобросовестных налогоплательщиков, физических лиц и/или организации, не имеющих удаленного доступа к ИР налоговых органов и действующих из-за пределов КЗ из корыстных побуждений с преступными целями;

недобросовестных налогоплательщиков, физических лиц и/или организации, которым налоговыми органами предоставлен удаленный доступ к ИР, для электронного документооборота и получения информационного обслуживания в автоматическом режиме и действующих из корыстных побуждений с преступными целями;

специалистов в области информационных технологий (профессиональных хакеров), действующих из собственных корыстных или хулиганских побуждений, а также возможно вступивших в сговор с криминальными структурами или, недобросовестными налогоплательщиками (нанятые этими структурами (лицами);

бывших (уволенных) и действующих сотрудников органов ФНС (включая налоговых агентов), а также обслуживающий персонал объектов информатизации, не имеющих доступа в КЗ, возможно вступивших в сговор с криминальными структурами или недобросовестными налогоплательщиками и действующих из корыстных или хулиганских побуждений;

действующих сотрудников органов ФНС (включая налоговых агентов), а также работники из числа обслуживающего персонала, имеющих доступа в КЗ, но не являющихся зарегистрированными пользователями АИС, возможно вступивших в сговор с криминальными структурами или недобросовестными налогоплательщиками и действующих из корыстных или хулиганских побуждений с преступными целями.

При этом любой из перечисленных нарушителей, для достижения целей своей атаки и/или извлечения выгоды от ее осуществления, подготавливая и проводя атакующие действия по отношению к информационным ресурсам АИС "Налог", учитывая криминальный характер совершаемых деяний, должен всегда стремиться скрыть свои несанкционированные действия от лиц, контролирующих соблюдение мер безопасности.

Все лица, имеющие доступ к техническим и программным средствам АИС "Налог", совместно с которыми используются СКЗИ, могут быть отнесены к следующим категориям:

категория I - лица, не имеющие права доступа в контролируемую зону;

категория II - лица, имеющие право постоянного или разового доступа в контролируемую зону.

Все потенциальные нарушители подразделяются на:

внешних нарушителей, осуществляющих атаки из-за пределов контролируемой зоны;

внутренних нарушителей, осуществляющих атаки, находясь в пределах контролируемой зоны.

Внешними нарушителями могут быть лица категории I или категории II, внутренними нарушителями могут быть только лица категории II.

Исходя из раздела 6 настоящей работы, недобросовестные налогоплательщики, организации и физические лица, которым налоговыми органами предоставлен удаленный доступ к ИР для электронного документооборота и получения информационного обслуживания в автоматическом режиме, при проведении ими атак с мест доступа к АИС "Налог" должны рассматриваться, несмотря на то, что они действуют из-за пределов контролируемой зоны, как внутренние нарушители. В случае проведения ими атак без использования АРМ доступа к АИС "Налог", они должны рассматриваться как внешние нарушители.

Вместе с тем, очевидно, что подобные нарушители, действуя из корыстных побуждений с преступным умыслом, не заинтересованы в нарушении конфиденциальности своих персональных данных, поскольку и так владеет ими в полной мере. Главными устремлениями данного типа нарушителей должны быть следующие действия:

Модификация или нарушение доступности налоговых данных (своих и/или иных физических лиц и организаций;

Нарушение конфиденциальности налоговых данных иных физических лиц и/или организаций.

7.1.3. Исключения субъектов из числа потенциальных нарушителей

Согласно изложенному в предыдущем разделе, к внешним нарушителям безопасности информации системе обмена информацией между объектами АИС "Налог" могут относиться все перечисленные в пп. а) - в) и д), е) потенциальные нарушители, а также потенциальные нарушители типа г) при условии осуществления ими атак без использования легальных возможностей, предоставляемых удаленным доступом к ИР АИС.

Принципиально, к упомянутым выше в п.п. в) и г) недобросовестным налогоплательщикам, нарушителям безопасности информации в АИС "Налог", могут быть отнесены и российские специализированные организации, профессионально занимающиеся разработкой, анализом и исследованиями шифровальных (криптографических) средств, способные самостоятельно производить лабораторные исследования таких средств и/или средств, обеспечивающих их функционирование, а также разрабатывающие способы атаки на СКЗИ. Вместе с тем, указанные организации осуществляют свою деятельность в области криптографической защиты информации на основании лицензий выдаваемых ФСБ России. Обязательным условием получения лицензий на проектирование СКЗИ, информационно-телекоммуникационных систем и комплексов телекоммуникаций, защищаемых с использование подобных средств, является наличие у предприятия допуска к сведениям, составляющим государственную тайну Российской Федерации. В связи с чем, деятельность специализированных предприятий, профессионально работающих в области криптографической защиты информации, осуществляется под контролем территориальных и специализированных подразделений ФСБ России.

Проведенный анализ показал, что сложность и трудоемкость, а следовательно, стоимость осуществления полноценного криптографического анализа и лабораторных исследований шифровальных средств и программно-аппаратной среды их функционирования таковы, что скрытое проведение указанных работ на специализированных предприятиях промышленности организовать практически невозможно. Кроме того, нелегальное использование и/или передача его результатов иным потенциальным нарушителям безопасности информации неизбежно связаны с разглашением сведений, содержащих государственную тайну. Поэтому представляется маловероятным, чтобы российские специализированные организации, профессионально занимающиеся разработкой, анализом и лабораторными исследованиями шифровальных (криптографических) средств и/или средств, обеспечивающих их функционирование, а также разрабатывающие способы атаки на СКЗИ, являлись потенциальными нарушителями безопасности информации АИС "Налог". По тем же причинам маловероятным представляется участие таких специализированных предприятий в сговоре с другими организациями и физическими лицами, являющими потенциальными нарушителями безопасности информации АИС "Налог" и перечисленными выше в пп. а) - з). Поэтому российские специализированные предприятия, способные самостоятельно проводить лабораторные исследования СКЗИ и/или аппаратно-программных средств, обеспечивающих функционирование последних, при дальнейшем рассмотрении исключаются из числа как внешних, так и внутренних потенциальных нарушителей безопасности информации в АИС "Налог".

В указанных условиях сговор внешних нарушителей любых из перечисленных в разделе 7.1.2 типов между собой не предоставляет им никаких дополнительных возможностей по нарушению безопасности информации в СПД АИС "Налог", помимо тех которыми обладают по отдельности.

Согласно проведенному анализу к внутренним нарушителям безопасности информации АИС "Налог" потенциально могут относиться субъекты информационных отношений, указанные в пп. б), г), и ж). А именно:

Зарегистрированные в качестве легальных пользователей АИС "Налог" налогоплательщики, имеющие удалённый доступ с использованием каналов связи к СВТ при осуществлении атаки с АРМ доступа;

Сотрудники органа ФНС, а также работники из числа обслуживающего персонала, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог";

Недобросовестные представители организаций, поставляющих программно-технические средства, расходные материалы, обеспечивающие сервисное обслуживание СВТ налоговых органов, оказывающие иные услуги и действующие с корыстными целями.

Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны объектов информатизации административных, режимных и организационно-технических мер защиты, направленных:

на предотвращение и пресечение несанкционированных действий администраторов и работников органов ФНС, официально допущенных до ИР АИС "Налог";

на предотвращение и пресечение нарушений порядка допуска и контроля поведения сторонних лиц внутри КЗ;

предотвращение несанкционированного доступа пользователей к информационным ресурсам системы;

контроль за установленным порядком обращения с защищаемой информацией.

К основным мерам защиты, реализованным на типовых объектах информатизации АИС "Налог", относятся следующие:

проверка благонадежности персонала, подбор доверенных лиц на должности администраторов и пользователей АИС;

регулярное проведение с администраторами и пользователями АИС инструктажей и бесед о необходимости соблюдения установленного режима защиты информации и персональных данных, циркулирующих в системе;

проверка полноты и точности анкетных и биографических данных кандидатов на замещения должностей, связанных с обработкой конфиденциальной информацией и персональными данными, изучение их послужного списка и рекомендаций с предыдущих мест работы;

тщательный отбор кандидатов по профессиональным признакам;

установление в трудовых договорах и должностных инструкциях работников, замещающих должности, связанные с обработкой и\или хранением защищаемой информации, личной ответственности за сохранность защищаемых данных и сведений конфиденциального характера и нарушение установленного порядка обращения с ними, а также средствами их защиты;

реализация комплекса мер, направленных на ограничение допуска пользователей и обслуживающего персонала к защищаемым ИР и средствам их защиты, включая разрешительную систему доступа пользователей и обслуживающего персонала в помещения, где размещены ТС АИС и носители персональных данных;

разграничение доступа пользователей, обслуживающего персонала к ИР АИС, ТС и программным средствам обработки, хранения и защиты информации;

регламентация порядка использования СКЗИ и управления ключевой информацией*(3);

осуществление мониторинга и контроля за действиями работников и сторонних лиц, имеющих постоянный или разовый доступ к ИР, ТС АИС и/или в помещения, в которых указанные средства размещены.

С учётом того, что система защиты информации не может обеспечить её защиту от действий, выполняемых в рамках предоставленных субъекту полномочий (например, криптосредство не может обеспечить защиту информации от раскрытия лицами, которым предоставлено право на доступ к этой информации), и исходя из анализа реализованных на типовых объектах информатизации АИС "Налог" административно-организационных мер безопасности в отношении персонала, допущенного для работы в ИС, при построении модели нарушителя использовалось предположение о доверенности администраторов ИС (персонал, обеспечивающий функционирование АИС "Налог") и пользователей ИС, которые являются работниками налоговых органов ИС и имеют санкционированный доступ к защищаемой информации (персональным данным), доступ к ключевой информации, а также обладают знаниями технологии обработки информации и системы принимаемых мер защиты информации.

Доверенность указанных категорий лиц означает, что они не является злоумышленниками, т.е. не предпринимают умышленных действий (бездействия) при выполнении своих должностных обязанностей, могущих привести к реализации угроз безопасности информации. Поэтому в дальнейшем указанные лица не рассматриваются в качестве потенциальных нарушителей.

В соответствии принципом, приведённым в п. 3.4 и подпункте 6) п. 3.1 "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации", и в соответствии с изложенными причинами перечисленные категории субъектов (администраторы, зарегистрированные пользователи АИС "Налог", работники подрядных организаций) исключаются из числа потенциальных нарушителей, мотивированных осуществлять деструктивные воздействия (атаки) на криптосредства.

Таким образом, окончательно нарушители безопасности информации, потенциально опасные для рассматриваемых каналов межсетевого обмена между типовыми объектами информатизации АИС "Налог", полностью описаны в Таблице 5.

С учетом изложенного выше, можно сделать вывод о том, что сговор между внешними и внутренними нарушителями не предоставляет им никаких дополнительных возможностей по сравнению с внутренним нарушителем, организующим и проводящим атаки, пользуясь доступом в контролируемую зону.

7.2 Внешние нарушители

7.2.1 Описание внешних нарушителей

К потенциальным внешним нарушителям, в принципе, могут быть отнесены все перечисленные пп. а) - в), д) и е) раздела 7.1.2 виды нарушителей. В соответствии с результатами проведенного на основании "Методических рекомендаций …"*(4) анализа указанные в внешние нарушители не имеет возможности прямого доступа к компонентам основных технических средств системы "Налог" и ее вспомогательным техническим средствам, находящимся в пределах КЗ, и могут осуществлять атаки только с территории, расположенной вне контролируемой зоны, через выходящие за ее пределы каналы связи, а также с использованием технических каналов утечки защищаемой информации. При этом, однако, не исключается возможность их доступа к коммутационным линиям и иному телекоммуникационному оборудованию СПД АИС "Налог" расположенным вне контролируемой зоны объектов информатизации системы.

Среди данного вида нарушителей можно выделить:

представителей криминальных структур;

недобросовестных налогоплательщиков, действующих с корыстными целями, но не имеющих легального удаленного доступа к аппаратно-программным средствам АИС "Налог";

специалистов в области информационных технологий (профессиональных хакеров), действующих в собственных интересах, нанятых криминальными структурами или недобросовестными налогоплательщиками;

уволенных сотрудников ФНС России или уволенных сотрудников организаций, обеспечивающих техническое обслуживание и эксплуатацию АИС "Налог".

Предположения об имеющейся у нарушителя информации об объектах атак

Представители криминальных структур являются наиболее агрессивным источником внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и путем сговора вовлекать в свою деятельность сотрудников органов ФНС всеми доступными им силами и средствами. Однако, как показано в разделах 7.1-7.3 настоящей Модели, принятыми организационно-техническими мерами сговор любых нарушителей с действующими сотрудниками органов ФНС России практически исключён и в принципе не может предоставить им никаких дополнительных возможностей по проведению атак.

Недобросовестные партнеры и уволенные сотрудники для реализации атак могут использовать свои знания о структуре сети, организации работы, защитных мерах и правах доступа и т.п.

Профессиональные хакеры имеют высокую квалификацию и знания об уязвимых местах программных и аппаратных средств.

Внешние нарушители указанных типов могут иметь доступ к любому объему данных, распространяемому, согласно установленному порядку и с помощью штатных средств системы по общедоступным перехватываемым (и/или подверженным иным деструктивным воздействиям) каналам связи, вне зависимости от физических свойств канала вне охраняемой зоны. Также он может располагать определенными фрагментами информации о топологии сети, об используемых коммуникационных протоколах и их сервисах, об особенностях используемого оборудования, системного, прикладного ПО и т.д. в объемах, доступных в свободной продаже.

Внешний нарушитель рассматриваемых типов может располагать отдельными именами зарегистрированных пользователей АИС "Налог" и может вести разведку имен и паролей зарегистрированных пользователей в каналах связи, выходящих за пределы типовых объектов информатизации информационной системы.

Таким образом, суммарные предположения об имеющейся у внешних нарушителей перечисленных выше информации об объектах атаки представлены в Таблице 6.

Вместе с тем нарушителю данного типа недоступны сведения о парольной, аутентифицирующей и ключевой информации (за исключением указанных выше) конкретных зарегистрированных пользователей АИС "Налог".

7.2.2 Предположения об имеющихся у нарушителя средствах атак

Предполагается, что описываемый внешний нарушитель для реализации своих целей может обладать доступными в свободной продаже техническими средствами (ТС) и ПО, как то:

средствами вычислительной техники (СВТ) (аппаратными и программными) общего назначения;

техническими и программными средствами, аналогичными средствам АИС "Налог", включая соответствующие средства каналообразования, маршрутизации и т.д.;

техническими и программными средствами защиты информации, включая СКЗИ, аналогичные используемым в АИС "Налог", и техническую документацию, а также технические и программные средства, входящие в среду функционирования шифровальных средств, с соответствующей технической документацией;

штатные коммуникационные и телекоммуникационные средства АИС "Налог", находящиеся за пределами контролируемой территории;

незарегистрированные носители информации, которые принадлежали зарегистрированным пользователям АИС "Налог" или которые тем или иным способом (подкидывание, дарение и т.д.) навязываются зарегистрированным пользователям системы.

Кроме того, внешние нарушители рассматриваемого типа для реализации атак могут обладать специально разработанными техническими средствами и программами, предназначенными для перехвата, модификации и блокирования информации в общедоступных каналах связи.

7.2.3 Описание каналов атак

Нарушители данного вида могут осуществлять атаки только из-за пределов КЗ через выходящие за пределы КЗ каналы связи:

не защищенные от НСД к информации организационно-техническими мерами каналы связи (как вне контролируемой зоны, так и в ее пределах), по которым передается информация, обрабатываемая СКЗИ.

каналы распространения сигналов, сопровождающих функционирование технических компонентов СКЗИ и его среды функционирования;

штатные коммутационные и телекоммутационные средства, находящиеся за пределами контролируемой зоны типовых объектов информатизации АИС "Налог";

незарегистрированные носители информации, принадлежащие зарегистрированным пользователям АИС "Налог" или которые тем или иным способом (подкидывание, дарение и т.д.) навязываются зарегистрированным пользователям системы;

отчуждаемые носители информации, выведенные установленным порядком из употребления и попавшие за пределы контролируемой зоны типовых объектов информатизации АИС "Налог".

При осуществлении атак нарушители рассматриваемого вида могут:

проводить перехват и последующий анализ данных, циркулирующих по общедоступным каналам связи вне контролируемой зоны;

проводить попытки уничтожения, модификации и блокирования информации, передаваемой, обрабатываемой и хранимой штатными средствами АИС "Налог";

проводить попытки навязывания ложной, а также ранее переданной информации;

проводить попытки внедрения вредоносного ПО, способного воздействовать на работу СКЗИ, среды их функционирования, а также программно-аппаратных средств хранения и обработки ИР АИС "Налог";

проводить атаки с целью вызвать отказы в работе отдельных компонентов АИС "Налог".

С другой стороны, использование нарушителями, не имеющими доступа в КЗ электронных устройств негласного получения информации, маловероятно. Также маловероятно использование иных технических каналов навязывания или осуществления других деструктивных воздействий на информацию.

7.3 Внутренние нарушители

7.3.1 Внутренние нарушители безопасности информации, имеющие доступ в контролируемую зону типовых объектов информатизации АИС "Налог" (описание)

Согласно выводам раздела 7.1.2, к внутренним нарушителям безопасности информации в СПД АИС "Налог", имеющим доступ в контролируемую зону типовых объектов информатизации АИС "Налог" могут относиться следующие лица:

Не являющийся зарегистрированным пользователем АИС "Налог", но имеющий право доступа в контролируемую зону работник сторонней организации, которая поставляет программно-технические средства, расходные материалы и/или обеспечивает сервисное обслуживание СВТ, и/или оказывает иные услуги налоговым органам (нарушитель типа б) Перечня раздела 7.1.2, имеющий доступ в КЗ);

Работник ФНС России, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог" (нарушитель типа ж) Перечня раздела 7.1.2);

Среди сотрудников сторонних организаций (нарушитель типа б) Перечня раздела 7.1.2), имеющие право доступа в КЗ, можно выделить:

персонал, который может иметь доступ в помещения с ТС АИС "Налог" во внерабочее время (вспомогательный персонал сторонних организаций, имеющий доступ в помещения, где установлено ОТСС, а также ВТСС. А именно: охрана, электрики, сантехники и т.д.);

посторонние по отношению к органам ФНС субъекты, в силу служебных обязанностей получившие доступ на типовые объекты информатизации АИС "Налог" (сотрудники государственных надзорных служб, посетители и т.д.), которые могут иметь доступ в КЗ только в рабочее время;

вспомогательный персонал сторонних организаций, который может иметь доступ в помещения с ТС АИС "Налог" только в рабочее время;

технический персонал сервисных (обслуживающих) организаций, осуществляющих внедрение и сопровождение аппаратных и программных средств (включая СЗИ) АИС "Налог", который может иметь доступ только в рабочее.

К работникам налоговых органов, не являющихся зарегистрированными пользователями АИС "Налог", но имеющие право постоянного или разового доступа в КЗ типовых объектов информатизации АИС, относится, в первую очередь, технический и вспомогательный персонал подразделений жизнеобеспечения этих объектов (уборщики, электрики, сантехники, охрана, иные сотрудники), имеющий доступ в помещения, где установлено оборудование ОТСС и/или ВТСС системы. Неконтролируемый доступ к указанным техническим средствам такие нарушители могут осуществлять только во внерабочее время.

Обслуживающий и технический персонал налогового органа, не имеющий легального доступа к ТС и ИР АИС "Налог", но имеющий возможность легально находиться в КЗ в течение внерабочего времени, имеет широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них возможности осуществления прямого физического доступа к ТС АИС и знания ими принимаемых мер защиты. Аналогичными возможностями обладают и сотрудники сторонних организаций, получившие бесконтрольный доступ в контролируемую зону в тот же период времени (перечисленные в п. 1.1) расположенного выше Перечня). Потенциальные возможности внутренних нарушителей этих двух видов практически совпадают. Действия этой группы лиц напрямую связаны с нарушением установленных на типовых объектах АИС "Налог" правил (инструкций) обеспечения безопасности информации, либо указанными лицами непосредственно, либо другими работниками налоговых органов, в чьи обязанности входит контроль за пребыванием посторонних лик и лиц, не допущенных к работе с ТС АИС "Налог", в помещениях, где размещены шифровальные средства, ОТСС и ВТСС системы. По возможным сценариям воздействия рассматриваемые внутренние нарушители (работниками налоговых органов и персонал сторонних организаций, который имеет доступ в помещения, где установлено ОТСС, а также ВТСС АИС), могут быть классифицированы как злоумышленники, то есть лица, которые целенаправленно стараются преодолеть систему защиты и нанести ущерб ИР ФНС.

Нарушители, которые являются сотрудниками сторонних организаций и которые могут находиться в КЗ в рабочее время (перечислены в пп. 1.2), 1.3) и 1.4) расположенного выше перечня), а также работники налоговых органов, не являющиеся легальными пользователями, но могущие находиться в КЗ типовых объектов информатизации АИС "Налог", потенциально имеют больше возможности по получению дополнительной, в том числе криптографически опасной информации, поскольку могут иметь доступ к ОТСС и ВТСС системы в процессе их полноценного функционирования. С другой стороны, это повышает вероятность обнаружения их противоправных действий. Поэтому потенциальные возможности рассматриваемых групп внутренних нарушителей также практически совпадают. И в этом случае действия этой группы лиц напрямую связаны с нарушением установленных на типовых объектах АИС "Налог" правил (инструкций) обеспечения безопасности информации, и нарушители данных групп должны классифицироваться как злоумышленники.

Для пресечения возможных нарушений безопасности информации в СПД АИС "Налог" работниками налоговых органов или персоналом сторонних организаций, перечисленными в пп 1) и 2), которые имеют доступ в КЗ, но не являются пользователями АИС, неконтролируемое перечисленных субъектов на территории, где размещаются компоненты ОТСС и ВТСС информационной системы, в рабочее и/или внерабочее время должно быть исключено комплексом реализованных в типовых объектах АИС "Налог" организационно-технических мер, установленных соответствующими инструктивными и нормативными документами ФНС. В частности, должны быть приняты следующие меры:

доступ посторонних лиц к ИР и программно-техническим средствам АИС "Налог", ограничивается принятыми организационными и/или техническими мерами по обеспечению порядка доступа в помещения, охране территории и организации пропускного режима на объектах, а также внедрением необходимых защитных мер и устройств в оборудование и СВТ;

за деятельностью сотрудников сторонних организаций, а также работников налоговых органов, не являющихся легальными пользователями АИС "Налог", но имеющих доступ в КЗ, в течении их нахождения в контролируемой зоне, как в течение рабочего дня, так и после его окончания, должен осуществляется контроль.

Таким образом, возможности нарушителей безопасности информации в СПД АИС "Налог", рассматриваемых в настоящем разделе типов, существенно ограничиваются принятыми на типовых объектах информатизации АИС "Налог" организационно-техническими мерами по обеспечению порядка доступа в помещения, в которых размещены ОТСС и ВТСС системы, в том числе используемые СКЗИ, а также необходимыми защитными мерами и устройствами, реализованными в оборудовании АИС. Поэтому самостоятельно нарушители рассматриваемого типа могут осуществлять ограниченный набор действий, связанных с попытками доступа к ИР АИС "Налог" через внешние устройства и порты средств обработки информации.

Сговор таких внутренних нарушителей между собой или с любыми внешними нарушителями, с одной стороны, практически не дает преимуществ сговорившимся нарушителям, перед внутренним нарушителем категории II, действующим в одиночку. С другой стороны, повышает вероятность обнаружения их противоправных действий.

7.3.2 Предположения об имеющейся у нарушителя информации об объектах атак

Исходя из дополнительных возможностей, которые дает доступ в КЗ, потенциальные внутренние нарушители, имеющие доступ в КЗ типовых объектов информатизации АИС "Налог" и описанные в предыдущем разделе, дополнительно к информации, которой владеет внешний нарушитель и которая описана в Таблице 6 раздела 7.2.2, могут располагать следующими данными, перечисленными в Таблице 7.

Внутренние нарушители рассматриваемого типа могут также вести разведку паролей зарегистрированных пользователей всеми доступными им методами.

Предполагается, что потенциальный внутренний нарушитель, являющийся сотрудником налоговых органов или работником сторонней организации, и имеющий доступ в КЗ, но не являющийся легальным зарегистрированным пользователями АИС "Налог", дополнительно к средствам осуществления атак, описанным в разделе 7.2.3, может использовать оставленные без контроля штатные программно-технические средства системы, расположенные в контролируемой зоне.

Дополнительно к каналам атак, описанным в разделе 7.2.4, потенциальный внутренний нарушитель, являющийся сотрудником налоговых органов или работником сторонней организации, и имеющий доступ в КЗ, но не являющийся легальным зарегистрированным пользователями АИС "Налог", может для осуществления атак использовать речевой акустический и визуальный каналы, а также физического доступа к оставленным без контроля штатным СВТ АИС "Налог" (внешние устройства и порты средств обработки информации).

7.3.3 Внутренние нарушители, не имеющие доступ в контролируемую зону объектов информатизации АИС "Налог"

Как следует из раздела 7.1.2, к внутренним нарушителям безопасности информации в СПД АИС "Налог", не имеющим доступ в контролируемую зону типовых объектов информатизации АИС "Налог", потенциально относятся недобросовестные налогоплательщики (физические и/или юридические лица), зарегистрированные в качестве легальных пользователей АИС "Налог" и использующие предоставленный им удалённый доступ по засекреченному каналу связи от своего рабочего места до типовых объектов информатизации АИС, перечисленных в разделе 6, для осуществления атак на СКЗИ, эксплуатируемые в составе СПД системы, а также программно-техническую среду их функционирования из корыстных побуждений. Подобные нарушители, действуя на расстоянии со своих автоматизированных рабочих мест и выходя по доверенному каналу в программно-аппаратную среду налоговых органов с целью получения непосредственного доступа в автоматическом режиме к информации, содержащейся в ИР ФНС, в том числе и в федеральных информационных ресурсах, в принципе не могут быть ограничены никакими организационными и техническими мерами защиты, предпринимаемыми на объектах информатизации ФНС.

Согласно результатам раздела 6, указанные недобросовестные налогоплательщики не имеют непосредственного доступа к шифровальным (криптографическим) средства, используемым для защиты информации в СПД АИС "Налог", за исключением СКЗИ, размещаемым на их рабочих местах для организации доверенного канала с налоговыми органами. Также подобные внутренние нарушители безопасности информации, являясь авторизованными пользователями системы, тем не менее не допущены к криптографическим ключам иных пользователей СКЗИ. Поэтому при организации атак на шифровальные средства и среду их функционирования их действия должны быть направлены, в первую очередь на формирование ложных маршрутов пересылки информации в сети, выявление паролей, компрометацию действующей ключевой информации, доступа к налоговой информации о себе и/или аффилированными с ними лицами, а также НДС к налоговой информации иных налогоплательщиков.

Таки образом, основным методом воздействия рассматриваемого внутреннего нарушителя на программно-аппаратные средства налоговых органов должны являться попытки расширения своих полномочий в системе с целью воздействия на СКЗИ и/или среду их жизнедеятельности с тем, чтобы обеспечить их отключение, обход, нарушение функционирования, несанкционированное изменение конфигурации и/или иных выполнение иных деструктивных проявлений.

Для достижения своих целей эти нарушители могут попытаться использовать весь доступный спектр воздействия на базовые и прикладные программные средства АИС "Налог", начиная несанкционированного запуска задач из имеющегося в системе набора, до создания и запуска собственных программ или иного вредоносного кода с новыми функциональными возможностями и попытками перехвата управления системой, в целом.

Сговор таких внутренних нарушителей с внешними нарушителями, возможности которых рассмотрены в разделе 7.2.1 не дает преимуществ сговорившимся нарушителям, перед внутренним нарушителем категории I рассматриваемого вида, действующим в одиночку, поскольку данный нарушитель может также осуществлять атаки информационной системы не только со своего штатного рабочего места, но и из других точек общедоступных телекоммуникационных сетей. Сговор внутреннего нарушителя, являющегося удаленным легальным пользователем ИС "Налог" и не имеющим доступа в КЗ типовых объектов информатизации АИС, с внутренними нарушителями категории II, не являющимися авторизованными пользователями системы, но имеющими доступ в КЗ, дополнительно создает для сговорившихся каналы по физическому доступа к оставленным без контроля штатным СВТ АИС "Налог" (внешние устройства и порты средств обработки информации). Однако, с другой стороны, такой сговор повышает вероятность обнаружения их противоправных действий и ставит под угрозу скрытность действий удаленного нарушителя.

Учитывая изложенное, обоснованным является предположение, что суммарные возможности недобросовестного налогоплательщика, имеющего легальный удаленный доступ к АИС "Налог", соответствуют возможностям нарушителя, являющегося авторизованным пользователем системы, но не обладающего правами на ее администрирование и доступам к действующим ключам шифрования и закрытым ключам электронной подписи.

С учетом изложенного, потенциальные внутренние нарушители, не имеющие доступ в КЗ типовых объектов информатизации АИС "Налог", но являющиеся легальными удаленными пользователями системы, дополнительно к информации, которой владеет внутренний нарушитель категории II, могут располагать перехваченными в АИС "Налог" паролями и идентификаторами других легальных пользователей системы, а также любым объемом открытой информации, передаваемой по шифрованным каналам связи.

Предполагается, что потенциальный внутренний нарушитель, являющийся недобросовестным налогоплательщиком, которому предоставлен удаленный терминальный доступ к АИС "Налог" дополнительно к средствам осуществления атак, описанным в разделе 7.3.1.3, доступные внутреннему нарушителю категории II, может имеющийся у него доверенный канал доступа к программно-техническим средствам системы, связанным с хранением и обработкой ИР.

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду раздел 7.2.3

Дополнительно к каналам атак, описанным в разделе 7.3.2. потенциальный внутренний нарушитель, имеющий удаленный доступ к ИР АИС "Налог" по доверенному каналу, но не допущенный в КЗ типовых объектов информатизации, может, с учетом сговора с внутренними нарушителями категории II, использовать для осуществления атак свой доступ к СВТ налоговых органов, обрабатывающие и хранящие ИР ФНС для доступа к критической информации других легальных пользователей системы (за исключением доступа к закрытым ключам шифрования и электронной подписи) и открытой информации, соответствующей передаваемым щифрграммам.

7.3.4 Определение типа нарушителя

В соответствии с документом ФСБ России "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (N 149/54-144, 2008 г.) определение типа нарушителя основывается на анализе его предполагаемых возможностей.

Такой анализ, проведенный в разделе 7.2 настоящей работы по отношению к потенциальным внешним нарушителям безопасности информации для каналов обмена данными между типовыми объектами АИС "Налог" показал, что они нарушители могут быть отнесены к типу Н1 - Н2.

Проведенный в разделе 7.3.1 анализ возможностей внутренних нарушителей безопасности, не являющихся авторизованными пользователями АИС "Налог", но имеющих доступ в контролируемую зону типовых объектов информатизации этой системы, показал, что эти нарушители могут быть отнесены, согласно упомянутого выше нормативного документа, к нарушителям типа Н2.

Описанный в разделе 7.3.2 настоящей работы анализ, возможностей внутренних нарушителей безопасности, являющихся легальными удаленными пользователями ИР, обрабатываемых и хранимых СВТ, размещенных на типовых объектах информатизации АИС "Налог", но не имеющих доступа в контролируемую зону этих объектов, показал, что эти нарушители, с учетом возможного сговора с другими нарушителями, могут быть отнесены к типу Н3.

Следовательно, криптографические средства защиты информации, используемые для защиты конфиденциальных и иных охраняемых в соответствии с законодательством Российской Федерации сведений, в том числе персональных данных, передаваемых по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", должны обеспечивать криптографическую защиту по уровню не ниже уровня КС3.

Вместе с тем, как видно из проведенных в разделе 7.3 рассуждений, исключение из списка потенциальных нарушителей безопасности защищаемой информации, передаваемой по перехватываемым общедоступным линиям связи между типовыми объектами АИС "Налог" недобросовестных налогоплательщиков, подключаемых удаленно по доверенным каналам к ИР налоговых органов, в соответствии с нормами и требованиями "Методическими рекомендациями по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", приведет к устранение возникающих из-за такого подключения угроз и, в принципе, позволит переклассифицировать нарушителя безопасности для рассматриваемой информационно-телекоммуникационной системы по более низкому типу Н2. Учитывая, что упомянутые "Методические рекомендации …" ФНС России не конкретизируют порядок формирования ответов на запросы налогоплательщиков в автоматическом режиме из ИР налогового ведомства, представляется целесообразным рассмотреть возможности по изданию нового руководящего документа по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании последних в электронном виде, который исключал бы возможность прямого доступа налогоплательщиков к федеральным и/или ведомственным информационным ресурсам. Альтернативой изданию нового нормативного акта по данному вопросу может также явиться издание дополнения к "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи", разъясняющего и конкретизирующего положения пп. 2.7, 2.8 и 2.9 этому документу указанным выше образом.

VIII. Заключение

В связи с введением в действие Федеральной налоговой службой в течение 2009 - 2011 годов ряда нормативных методических документов, устанавливающих порядок организации взаимодействия между налоговыми органами и налогоплательщиками в электронном виде по телекоммуникационным каналам связи, разработанные ранее Частные модели угроз и нарушителей безопасности персональных данных при их обработке в информационных системах персональных данных типовых объектов информатизации могли утратить актуальность и требуют доработки.

На основании приведённого в разделе 6 дополнительного анализа угроз безопасности информации, обрабатываемой на типовых объектах информатизации, и результатов проведенного в разделе 7 моделирования возможностей и характеристик нарушителя безопасности информации, передаваемой по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", можно сделать выводы о том, что основными угрозами безопасности защищаемым сведениям при этом являются:

Со стороны потенциального внешнего нарушителя:

перехват и последующий анализ информации, в том числе персональных данных, циркулирующей между типовыми объектами информатизации АИС "Налог";

попытки уничтожения, модификации и блокирования информации, в том числе персональных данных, циркулирующей между типовыми объектами информатизации АИС "Налог";

попытки навязывания ложной информации, в том числе ложных персональных данных;

попытки преодоления подсистемы криптографической защиты информации, реализованной в АИС "Налог";

попытки атак с целью вызвать отказы в работе доступных компонент АИС "Налог".

Со стороны потенциального внутреннего нарушителя:

попытки расширения своих полномочий и воздействия на СКЗИ (для их отключения, обхода, нарушения функционирования, несанкционированного изменения конфигураций или иных деструктивных воздействий) с использованием оставленных без присмотра штатных программных и технических средств, а также возможного легального удаленного доступа недобросовестных налогоплательщиков к СВТ АИС "Налог", направленные на нарушение конфиденциальности, целостности или доступности обрабатываемых, хранимых и предаваемых защищаемых сведений, в том числе персональных данных;

нарушения установленных режимных и организационно-технических мер, а также регламентов проводимых работ, которые могут влиять на состояние защищённости информации в АИС "Налог", в том числе на состояние защищенности персональных данных, содержащихся в ИР налоговых органов.

В результате проведенного в разделе 7 моделирования возможных деструктивных действий потенциальных нарушителей безопасности информации, передаваемой по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", сделан вывод о том, что его возможности соответствуют возможностям типу Н3, согласно "Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" ФСБ России.

Криптографические средства защиты информации, используемые для защиты конфиденциальных и иных охраняемых в соответствии с законодательством Российской Федерации сведений, в том числе персональных данных, передаваемых по общедоступным перехватываемым каналам связи между типовыми объектами АИС "Налог", должны обеспечивать криптографическую защиту по уровню не ниже уровня КС3.

См. графический объект

"Рис. 1. Модель информационного взаимодействия налоговых органов различного уровня, учитывающая особенности электронного документооборота между налоговыми органами и налогоплательщиками"

Таблица 1.

Состав типовых объектов обработки данных ФНС России

N п/п	Наименование типовых объектов	Применяемые технологии информационного взаимодействия
1.	Узел обработки данных подразделений федерального уровня (ЦА, МРИ КНП)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA).
2.	Федеральный центр обработки данных (ФЦОД)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
3.	Узел обработки данных регионального уровня (УФНС, МИФО)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
4.	Региональный центр обработки данных (МИЦОД, УФНС)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
5.	Узел обработки данных местного уровня (ИФНС, МИКНП)	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами на магнитных носителях в формате XML; Web доступ к ресурсам сети (протокол HTTP/ HTML); технология терминального доступа для взаимодействия с унаследованными узлами и приложениями (протоколы RDP и ICA)
6.	Территориально-обособленное рабочее место работника налогового органа	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML)
7.	Удаленный терминал доступа налогоплательщика	Электронная почта (протокол SMTP); электронный обмен файлами (протокол FTP); обмен файлами XML; Web доступ к ресурсам сети (протокол HTTP/ HTML)

Таблица 2. Характер информационных ресурсов, обрабатываемых на объектах АИС "Налог" по степени ограничения доступа к ним

Вид ИР	Характер ИР (степень конфиденциальности ИР)
Вид ИР	Общедоступные	Персональные данные	Налоговая тайна
Информационные ресурсы по государственной регистрации и учету юридических и физических лиц	+ (основная часть)	+ (частично)	-
Информационные ресурсы по формам налоговой отчетности, ежегодно утверждаемым приказом ФНС России	+ (частично)	+ (частично)	+ (частично)
Информационные ресурсы, формируемые на основе сведений, получаемых из внешних источников	+	-	-
Вспомогательные информационные ресурсы	+	+ (частично)	+ (частично)

Таблица 3

N п/п	Перечень основных угроз		Возможные последствия
1.	Угроза "Анализа сетевого трафика"		Исследование характеристик сетевого трафика, перехват передаваемых данных, в том числе идентификаторов и паролей пользователей
2.	Сканирование сети		Определение протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, активных сетевых сервисов, идентификаторов и паролей пользователей
3.	Внедрение ложных сведений о субъекте ПДн (Работниках органов ФНС, налогоплательщиках и т.д.)		Перехват и просмотр трафика. НСД к сетевым ресурсам, навязывание ложной информации.
4.	Угроза подмены доверенного объекта		Изменение трассы прохождения сообщений, несанкционированное изменение маршрутно-адресных данных. НСД к сетевым ресурсам, навязывание ложной информации.
5.	Навязывание ложного маршрута сети, в том числе с обходом средств защиты информации		Несанкционированное изменение маршрутно-адресных данных, анализ и модификация передаваемых данных, навязывание ложных сообщений
6.	Угрозы выявления пароля		Выполнение любого действия, связанного с получением НСД
7.	Угрозы внедрения по сети вредоносных программ		Нарушение конфиденциальности, целостности и доступности обрабатываемой в АИС информации.
8.	Угрозы удалённого запуска приложений	Путём рассылки файлов, содержащих деструктивный исполняемый код	Нарушение конфиденциальности, целостности и доступности обрабатываемой в АИС информации.
9.		Путём переполнения буфера серверного приложения
10.		Путём использования возможностей удалённого управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами	Скрытое управление АИС
11.	Отказ в обслуживании	Частичное исчерпание ресурсов	1. Снижение пропускной способности каналов связи, производительности сетевых устройств. 2. Снижение производительности серверных приложений.
12.		Полное исчерпание ресурсов	Невозможность передачи сообщений из-за отсутствия доступа к среде передачи, отказ в установления соединения. Отказ в предоставлении сервиса (электронной почты, файлового и т.д.)
13.		Нарушение логической связности между атрибутами, данными, объектами	1. Невозможность передачи сообщений из-за отсутствия корректных маршрутно-адресных данных. 2. Невозможность получения услуг ввиду несанкционированной модификации идентификаторов, паролей и т.п.
14.		Использование ошибок в ПО	Нарушение работоспособности сетевых устройств.
15.	Воздействие на применяемые СЗИ		Нарушение конфиденциальности, целостности и доступности путем отключения (модификации) механизмов защиты или изменения полномочий пользователей
16.	Угрозы, реализуемые в ходе загрузки ОС		Перехват паролей или идентификаторов, модификация базовой системы ввода/вывода (BIOS), перехват управления загрузкой
17.	Угрозы, реализуемые после загрузки ОС		Выполнение НСД к обрабатываемой в АИС информации (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.), ОС или какой-либо прикладной программы (например, СУБД), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.)
18.	Использование нештатного ПО		Создание предпосылок и условий дальнейшей реализации угроз, отключение механизмов защиты.

Актуальные угрозы безопасности информации		Типовые объекты АИС "Налог"
N п/п	Наименование	Типовой объект информатизации МРИ ФНС России по КН и ИФНС	Типовой объект информатизации МИ ФНС России по КН	Типовой объект информатизации МИ ФНС России по ФО	Типовой объект информатизации МИ ФНС России по ЦОД	Типовой объект информатизации МРИ ФНС России по ЦОД	Типовой объект информатизации ЦА ФНС России	Типовой объект информатизации УФНС России
1.	Угроза НСД с применением стандартных функций операционной системы.	+	+	+	+	+	+	+
2.	Угроза НСД с помощью прикладной программы.	+	-	-	-	-	-	-
3.	Угроза НСД при передаче информации по общедоступным каналам связи.	+	+	+	+	+	+	+
4.	Угроза утечки информации при удаленном доступе к информационным ресурсам.	+	+	+	+	+	+	+
5.	Угроза утечки информации с использованием копирования ее на съемные носители.	+	+	+	+	+	+	+
6.	Угроза утечки данных посредством печати информации, содержащей персональные данные.	+	+	+	+	+	+	+
7.	Угроза внедрения вредоносных программ с использованием съемных носителей.	+	+	+	+	+	+	+
8.	Угроза "Анализа сетевого трафика".	+	+	+	+	+	+	+
9.	Угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных.	+	-	-	-	-	-	-
10.	Угроза перехвата и взлома паролей.	+	-	-	-	-	-	-
11.	Угроза подбора паролей доступа.	+	+	+	+	+	+	+
12.	Угрозы внедрения троянских программ.	+	+	+	+	+	+	+
13.	Угроза удаленного запуска приложений с использованием средств удаленного управления.	+	-	-	-	-	-	-

Таблица 5

Вид нарушителя	Категория I	Категория II
Внешний	Внешний нарушитель, не имеющий прав доступа в контролируемую зону и не имеющий легального удаленного доступа с использованием каналов связи к СВТ АИС "Налог", относящийся к типам а) - в), д) и е) Перечня раздела 7.1.2.
Внутренний	Зарегистрированный в качестве легального пользователя АИС "Налог" налогоплательщик, имеющий удалённый доступ с использованием каналов связи к СВТ при осуществлении атаки с АРМ доступа, относящийся к типу г) Перечня раздела 7.1.2.	Сотрудник органа ФНС, не являющийся зарегистрированным пользователем ЛВС, но имеющий право доступа в контролируемую зону объектов информатизации АИС "Налог", относящийся к типу ж). Перечня раздела 7.1.2 Работник сторонней организации, поставляющей программно-технические средства, расходные материалы, и/или обеспечивающей сервисное обслуживание СВТ налоговых органов, и/или оказывающие иные услуги, имеющий доступ в КЗ и относящийся к типу б) Перечня раздела 7.1.2.

Таблица 6

N п/п	Информация о системе	Предположения о наличии информации
1.	Общие сведения о СПД АИС "Налог" (оператор, объекты информатизации, входящие в систему, места размещения ИР и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
2.	Общие сведения о защищаемой с использованием СКЗИ информации (виды информации: служебная, парольная, аутентифицирующая, конфигурационная, управляющая и т.д., характеристики каждого вида информации и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
3.	Данные об административных, режимных и организационно-технических мерах защиты информации, реализованных на ОИ АИС "Налог"	Вероятно для нарушителей типа а) - в), д), е)
4.	Данные об организации работы, структуре и используемых технических, программных и программно-технических средствах АИС "Налог" (используемые ОС, СУБД, прикладное ПО, аппаратные платформы и т.д.)	Вероятно для нарушителей типа а) - в), д), е)
5.	Сведения об информационных ресурсах АИС "Налог": порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков	В полном объеме маловероятно для нарушителей типа а) - в) и д)
5.		Вероятно для нарушителей типа е)
7.	Сведения о физических мерах защиты объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
7.		Вероятно для нарушителей типа е)
9.	Сведения о мерах по обеспечению защиты контролируемой зоны объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
9.		Вероятно для нарушителей типа е)
11.	Сведения о мерах по ограничению доступа в помещения объектов ФНС, в которых размещены СКЗИ	В полном объеме маловероятно для нарушителей типа а) - в) и д)
11.		Вероятно для нарушителей типа е)
13.	Сведения о программном обеспечении СВТ, используемых в типовых объектов ФНС совместно СКЗИ	Вероятно для нарушителей типа а) - в), д) и е)
14.	Описания используемых в шифровальных (криптографических) средствах алгоритмов и протоколов, содержание документации на технические и программные компоненты СКЗИ и среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
15.	Сведения о линиях связи, по которым передается защищаемая с использованием СКЗИ информация	Вероятно для нарушителей типа а) - в), д) и е)
16.	Всеми данными, передаваемыми по каналам связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, (незашифрованные адреса, команды управления и т.д.)	Вероятно для нарушителей типа а) - в), д) и е)
17.	Сведения обо всех проявляющихся в каналах связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, неисправностях, сбоях и т.д. в работе СКЗИ и среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
18.	Сведения обо всех проявляющихся в каналах связи за пределами контролируемой зоны и незащищенных от НСД к передаваемой информации некриптографическими методами, нарушениях правил эксплуатации СКЗИ среды их функционирования	Вероятно для нарушителей типа а) - в), д) и е)
19.	Сведения, получаемые в результате анализа любых сигналов от технических средств, которые может перехватить нарушитель за пределами контролируемой зоны	Вероятно для нарушителей типа а) - в), д) и е)

Таблица 7

N п/п	Информация о системе	Предположения о наличии информации
1.	Сведения об именах (логинах) зарегистрированных пользователей АИС "Налог"	Вероятно
2.	Сведения об организации работы пользователей, порядке и правилах создания, хранения и передачи информации	Вероятно
3.	Сведения, доступные с использованием речевого акустического и визуального каналов	Вероятно
4.	Сведения, получаемые путем физического доступа к оставленным без контроля носителям информации и техническим средствам АИС	Вероятно

Приложение А
К Модели нарушителя безопасности
информации для каналов обмена данными
между типовыми объектами АИС "Налог"

Описание методологии формирования модели нарушителя

Согласно определенным в Методических рекомендациях принципам, нарушитель может действовать на различных этапах жизненного цикла криптосредства и СФК (под этими этапами понимаются разработка, производство, хранение, транспортировка, ввод в эксплуатацию, эксплуатация программных и технических криптосредств и СФК)*(5).

А.1 Этапы разработки, производства, хранения, транспортировки, ввода в эксплуатацию технических и программных криптосредств и СФК

На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию криптосредств и СФК обработка информации не производится. Поэтому объектами атак могут быть только сами эти средства и документация на них (см. Ошибка: источник перекрестной ссылки не найден).

На указанных этапах возможны следующие атаки:

Таблица А.1

Этапы жизненного цикла	Вне зоны ответственности оператора (ФНС России)	В зоне ответственности оператора (ФНС России)
Разработка, производство и транспортировка	+	-
Хранение	+	+
Ввод в эксплуатацию	-	+

А.2 Этап эксплуатации технических и программных криптосредств и СФК

Модель нарушителя для этапа эксплуатации технических и программных криптосредств и СФК имеет следующую структуру:

описание нарушителей (субъектов атак);

предположения об имеющейся у нарушителя информации об объектах атак;

предположения об имеющихся у нарушителя средствах атак;

описание каналов атак.

При определении объектов атак рассматриваются как возможные объекты атак и при необходимости конкретизируются с учетом используемых в ИС информационных технологий и ТС следующие объекты:

документация на криптосредство и на технические и программные компоненты СФК;

защищаемые информации;

ключевая, аутентифицирующая и парольная информация;

криптографически опасная информация (КОИ);

криптосредство (программные и аппаратные компоненты криптосредства);

технические и программные компоненты СФК;

данные, передаваемые по каналам связи;

помещения, в которых находятся защищаемые ресурсы ИС.

Возможные объекты атак и цели атак были определены на этапе формирования модели угроз.

А.3 Описание нарушителей (субъектов атак)

Различают шесть основных типов нарушителей: Н1, Н2, ... , Н6. Возможности нарушителя типа Нi + 1 включают в себя возможности нарушителя типа Нi (*). Если внешний нарушитель обладает возможностями по созданию способов и подготовки атак, аналогичными соответствующим возможностям нарушителя типа Нi (за исключением возможностей, предоставляемых пребыванием в момент атаки в КЗ), то этот нарушитель также обозначается как нарушитель типа Нi (*).

Предполагается, что нарушители типа Н5 и Н6 могут ставить работы по созданию способов и средств атак в научно-исследовательских центрах, специализирующихся в области разработки и анализа криптосредств и СФК.

Описание нарушителей содержит:

перечень лиц, которые не рассматриваются в качестве потенциальных нарушителей, и обоснование этого перечня (при необходимости);

предположение о невозможности сговора нарушителей (для всех типов нарушителей) или предположения о возможном сговоре нарушителей и о характере сговора, включая перечисление дополнительных возможностей, которые могут использовать находящиеся в сговоре нарушители для подготовки и проведения атак (для нарушителей типа Н4 - Н6).

Все физические лица, имеющие доступ к техническим и программным средствам ИС, разделяются на следующие категории:

категория I - лица, не имеющие права доступа в КЗ ИС;

категория II - лица, имеющие право постоянного или разового доступа в КЗ ИС.

Все потенциальные нарушители подразделяются на:

внешних нарушителей, осуществляющих атаки из-за пределов КЗ ИС;

внутренних нарушителей, осуществляющих атаки, находясь в пределах КЗ ИС.

Внешними нарушителями могут быть как лица категории I, так и лица категории II, внутренними нарушителями могут быть только лица категории II.

Внутренний нарушитель может являться зарегистрированным пользователем системы и иметь доступ к работе со штатными средствами АС и СВТ. Внутренние нарушители классифицируются*(6) по уровню возможностей, предоставляемых им штатными средствами. В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты. Выделяется четыре уровня этих возможностей (Ошибка: источник перекрестной ссылки не найден). Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Таблица А.2

Уровень	Описание возможностей
Первый	Запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации
Второй	Возможность создания и запуска собственных программ с новыми функциями по обработке информации
Третий	Возможность управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования
Четвертый	Весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт ТС АИС, вплоть до включения в состав СВТ собственных ТС с новыми функциями по обработке информации

При описании нарушителей также дается описание привилегированных пользователей ИС (членов группы администраторов), которые назначаются из числа особо доверенных лиц и осуществляют техническое обслуживание технических и программных криптосредств и СФК, включая их настройку, конфигурирование и распределение ключевой документации между непривилегированными пользователями. Как правило, привилегированные пользователи ИС исключаются из числа потенциальных нарушителей.

В случае исключения тех или иных типов лиц категории II из числа потенциальных нарушителей указывается соответствующее обоснование.

А.4 Предположения об имеющейся у нарушителя информации об объектах атак

Данный раздел Модели нарушителя содержит:

предположение о том, что потенциальные нарушители обладают всей информацией, необходимой для подготовки и проведения атак, за исключением информации, доступ к которой со стороны нарушителя исключается системой защиты информации. К такой информации, например, относится парольная, аутентифицирующая и ключевая информация;

обоснованные ограничения на степень информированности нарушителя (перечень сведений, в отношении которых предполагается, что они нарушителю недоступны).

При определении ограничений на степень информированности нарушителя рассматриваются следующие сведения:

содержание технической документации на технические и программные компоненты СФК;

долговременные ключи криптосредства;

все возможные данные, передаваемые в открытом виде по каналам связи, не защищенным от НСД к информации организационно-техническими мерами (фазовые пуски, синхропосылки, незашифрованные адреса, команды управления и т.п.);

сведения о линиях связи, по которым передается защищаемая информация;

все сети связи, работающие на едином ключе;

все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, нарушения правил эксплуатации криптосредства и СФК;

все проявляющиеся в каналах связи, не защищенных от НСД к информации организационно-техническими мерами, неисправности и сбои технических криптосредств и СФК;

сведения, получаемые в результате анализа любых сигналов от технических криптосредств и СФК, которые может перехватить нарушитель.

Исходя от выше изложенного, получаем следующие итоги, приведенные в Таблице А.3.

Таблица А.3

Тип нарушителей	Степень информированности
*	Могут располагать информацией обо всех сетях связи, работающих на едином ключе
*	Располагают наряду с доступной в свободной продаже документацией на криптосредство и СФК исходными текстами прикладного ПО
*	Располагают всей документацией на криптосредство и СФК

А.5 Предположения об имеющихся у нарушителя средствах атак

Данный раздел Модели нарушителя содержит:

предположение о том, что нарушитель имеет все необходимые для проведения атак по доступным ему каналам атак средства, возможности которых не превосходят возможности аналогичных средств атак на информацию, содержащую сведения, составляющие государственную тайну;

обоснованные ограничения на имеющиеся у нарушителя средства атак.

При определении ограничений на имеющиеся у нарушителя средства атак, в частности, должны быть рассмотрены:

аппаратные компоненты криптосредства и СФК;

доступные в свободной продаже ТС и ПО;

специально разработанные ТС и ПО;

штатные средства.

Предположения о возможностях нарушителей по использованию средств атак приведены в Таблице А.4.

Таблица А.4

Тип нарушителя	Аппаратные компоненты криптосредства и СФК	Штатные средства	Лабораторные исследования
*	Располагают только доступными в свободной продаже аппаратными компонентами криптосредства и СФК	Могут использовать штатные средства только в том случае, если они расположены за пределами КЗ	-
*		Возможности по использованию штатных средств зависят от реализованных в ИС организационных мер
*	Дополнительные возможности по получению аппаратных компонент криптосредства и СФК зависят от реализованных в ИС организационных мер
*			Могут проводить лабораторные исследования криптосредств, используемых за пределами КЗ ИС
*
*	Располагают любыми аппаратными компонентами криптосредства и СФК

А.6 Описание каналов атак

Основными каналами атак являются:

каналы связи (как внутри, так и вне КЗ), не защищенные от НСД к информации организационно-техническими мерами;

штатные средства.

Возможными каналами атак могут быть:

каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический);

машинные носители информации;

носители информации, выведенные из употребления;

технические каналы утечки;

сигнальные цепи;

цепи электропитания;

цепи заземления;

канал утечки за счёт электронных устройств негласного получения информации;

информационные и управляющие интерфейсы СВТ.

А.7 Определение типа нарушителя

Нарушитель относится к типу Нi, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Нi и нет предположений, относящихся только к нарушителям типа Нj (j > i).

Нарушитель относится к типу * в ИС, в которых обрабатывается наиболее важная информация, нарушение характеристик безопасности которой может привести к особо тяжелым последствиям*(7).

______________________________

*(1) "Методические рекомендации по организации электронного документооборота между налоговыми органами и налогоплательщиками при информационном обслуживании и информировании налогоплательщиков в электронном виде по телекоммуникационным каналам связи" (Приказ ФНС России от 22 июня 2011 г. N ММВ-7-6/381@)

*(2) Письмо Минфина России от 21.09.2010 г. N 03-02-08/52 о разъяснении вопроса о направлении налоговым органом в адрес контрагента сведений о налогоплательщике.

*(3) Приказ ФНС России от 31 октября 2008 г. N ММ-3-6/546@ "Об утверждении Типового порядка использования средств криптографической защиты информации и управления ключевой информацией в территориальном налоговом органе".

*(4) "Методические рекомендации по обеспечению с помощью криптосредств безопасности информации при их обработке в информационных системах информации с использованием средств автоматизации" (N 149/54-144, 2008 г.)

*(5) Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, подраздел 3.1, п. 7.

По-видимому, в тексте предыдущего абзаца допущена опечатка. Имеется в виду "подраздел 3.1, п. 6"

*(6) Руководящий документ "Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации", утвержден решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г., раздел 4 "Модель нарушителя в АС".

*(7) Рекомендуется при отнесении нарушителя к типу * согласовывать модель нарушителя с ФСБ России.

Приложение N 3

Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных центрального аппарата ФНС России
(утв. приказом Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@)

1. Общие положения

1.1. Настоящая Модель угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных ЦА ФНС России (далее - Модель) разработана по итогам проведения обследования информационно-телекоммуникационной инфраструктуры объектов информатизации центрального аппарата ФНС России на предмет выявления и выделения информационных систем, в которых осуществляется обработка персональных данных (ПДн).

При разработке Модели использованы материалы "Проекта модернизации архитектуры информационной системы ФНС России. Книга 1. Описание существующей архитектуры АИС Налог (части 1 - 11)".

1.2. Модель разработана в соответствии с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2009, N 48, ст. 5716; N 52, ст. 6439; 2010, N 27, ст. 3407; N 31, ст. 4173; N 49, ст. 6409; N 52, ст. 6974; 2011, N 23, ст. 3263; N 31, ст. 4701), Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" ("Российская газета", 2006, N 165; 2010, N 169; 2011, N 75), постановлением Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2007, N 48, ст. 6001), постановлением Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4320), приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 N 55/86/20 "Об утверждении порядка проведения классификации информационных систем персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 03.04.2008, регистрационный номер 11462, "Российская газета", 2008, N 80), приказом Федеральной службы по техническому и экспортному контролю от 05.02.2010 N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (зарегистрирован Министерством юстиции Российской Федерации 19.02.2010, регистрационный номер 16456, "Российская газета", 2010, N 46), Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008, Базовой моделью угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 15.02.2008, Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утвержденных руководством 8 Центра ФСБ России 21.02.2008 N 149/54-144, Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных руководством 8 Центра ФСБ России 21.02.2008 N 149/6/6-622.

2. Описание подхода к моделированию угроз безопасности ПДн

2.1. Современная система обеспечения информационной безопасности должна строиться на основе комплексирования разнообразных мер защиты и опираться на современные методы прогнозирования, анализа и моделирования возможных угроз безопасности информации и последствий их реализации.

На этапе обследования проведено изучение и анализ существующей обстановки и выявлены актуальные угрозы безопасности ПДн в составе информационных систем персональных данных (далее - ИСПДн) ЦА ФНС России.

2.2. Исходными данными для проведения оценки и анализа служат материалы обследования информационно-телекоммуникационной инфраструктуры ЦА ФНС России, а также результаты анкетирования работников различных подразделений, в том числе руководства ФНС России, кадрового обеспечения, безопасности, информационной безопасности и служб обеспечения. Анкетирование проводилось для уяснения направленности их деятельности, предполагаемых приоритетов и целей информационной безопасности, задач, решаемых в ИСПДн, а также условий расположения и эксплуатации ИСПДн на основе методических документов ФСТЭК России.

2.3. Базовая модель угроз безопасности ПДн при их обработке в ИСПДн, утвержденная заместителем директора ФСТЭК России 15.02.2008 (далее - Базовая модель), содержит систематизированный перечень угроз безопасности ПДн при их обработке в ИСПДн, обусловленных преднамеренными или непреднамеренными действиями физических лиц, действиями спецслужб или организаций, а также криминальных группировок, создающими условия для нарушения безопасности ПДн.

На основе Базовой модели проведена классификация угроз безопасности ПДн в составе ИСПДн ЦА ФНС России и составлен перечень угроз безопасности ПДн в составе ИСПДн.

2.4. На основе составленного перечня угроз безопасности ПДн в составе ИСПДн с помощью Методики определения актуальных угроз безопасности ПДн при их обработке в ИСПДн, утвержденной заместителем директора ФСТЭК России 14.02.2008, построена Модель угроз безопасности ПДн в составе ИСПДн ЦА ФНС России и выявлены актуальные угрозы.

3. Классификация угроз безопасности ПДн в ИСПДн

3.1. Состав и содержание угроз безопасности ПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного доступа к ПДн.

3.2. К характеристикам ИСПДн, обуславливающим возникновение угроз безопасности ПДн, можно отнести:

категорию и объем обрабатываемых в ИСПДн персональных данных;

структуру ИСПДн;

наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена, включая сеть Интернет;

характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн;

режимы обработки ПДн;

режимы разграничения прав доступа пользователей ИСПДн;

местонахождение и условия размещения технических средств ИСПДн.

3.3. ИСПДн представляет собой совокупность информационных и программно-аппаратных элементов. Основными элементами ИСПДн являются:

персональные данные, содержащиеся в базах данных ИСПДн;

технические средства, осуществляющие обработку ПДн;

программные средства (операционные системы, системы управления базами данных и т.п.);

средства защиты информации;

вспомогательные технические средства и системы.

3.4. Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются ПДн, и определяются при оценке возможности реализации канала угроз безопасности ПДн.

3.5. Возможности источников угроз безопасности ПДн обусловлены совокупностью методов и способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.

3.6. Угроза безопасности ПДн реализуется в результате образования канала реализации угроз безопасности ПДн между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).

Основными элементами канала реализации угроз безопасности ПДн являются:

3.7. Носители ПДн могут содержать информацию, представленную в следующих видах:

3.8. В целях формирования систематизированного перечня угроз безопасности ПДн при их обработке в ИСПДн угрозы классифицируются в соответствии со следующими признаками:

1) по видам возможных источников угроз безопасности ПДн:

2) по структуре ИСПДн, на которую направлена реализация угроз безопасности ПДн:

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автоматизированного рабочего места;

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем;

угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем.

3) по виду несанкционированных действий, осуществляемых с ПДн:

угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;

4) по способам реализации угроз безопасности ПДн:

угрозы, реализуемые в ИСПДн при их подключении к сетям связи общего пользования;

угрозы, реализуемые в ИСПДн при их подключении к сетям международного информационного обмена;

5) по виду каналов, с использованием которых реализуется угроз безопасности ПДн:

угрозы, реализуемые через каналы, возникающие за счет использования технических средств съема (добывания) информации, обрабатываемой в технических средствах ИСПДн или вспомогательные технические средства и системы (далее - ВТСС) (технические каналы утечки информации);

угрозы, реализуемые за счет несанкционированного доступа (далее - НСД) к ПДн в ИСПДн с использованием штатного программного обеспечения ИСПДн или специально разрабатываемого программного обеспечения.

3.9. Реализация одной из угроз безопасности ПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:

значительные негативные последствия для субъектов ПДн;

негативные последствия для субъектов ПДн;

незначительные негативные последствия для субъектов ПДн.

3.10. Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн и описываются следующим образом:

угроза утечки ПДн по техническим каналам = "источник угрозы (приемник информативного сигнала) - "среда (путь) распространения информационного сигнала" - "источник (носитель) ПДн".

3.11. Угрозы, связанные с НСД, представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:

угроза НСД = "источник угрозы" - "уязвимость программного или аппаратного обеспечения" - "способ реализации угрозы" - "объект воздействия (носитель ПДн)" - "несанкционированный доступ".

4. Общее описание угроз безопасности ПДн обрабатываемых в ИСПДн

4.1. При обработке ПДн в ИСПДн, возможна реализация следующих видов угроз безопасности ПДн:

угрозы утечки информации по техническим каналам;

угрозы НСД к ПДн, обрабатываемым в ИСПДн.

4.2. Основными элементами угроз утечки информации по техническим каналам являются:

источник угрозы (физические лица, не имеющие доступа к ИСПДн, а также спецслужбы или организации (в том числе конкурирующие или террористические), криминальные группировки, осуществляющие перехват (съем) информации с использованием технических средств регистрации, приема или фотографирования информации);

носитель защищаемой информации, а также технические средства ИСПДн и вспомогательные технические средства, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

4.3. При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн за счет реализации следующих технических каналов утечки информации:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналам ПЭМИН.

4.3.1. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

4.3.2. Реализация угрозы утечки видовой информации возможна за счет просмотра информации с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

4.3.3. Угрозы утечки информации по каналу ПЭМИН возможны из-за наличия электромагнитных излучений, в основном, монитора и системного блока компьютера. Основную опасность представляют угрозы утечки из-за наличия электромагнитных излучений монитора.

Здесь и далее по тексту нумерация разделов приводится в соответствии с источником

4. Угрозы несанкционированного доступа

4.1. Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн, и включают в себя:

1) Угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения.

Угрозы доступа (проникновения) в операционную среду ИСПДн с использованием штатного программного обеспечения разделяются:

на угрозы непосредственного доступа, осуществляемые с использованием программных и программно-аппаратных средств ввода/вывода компьютера;

на угрозы удаленного доступа, реализуеемые с использованием протоколов сетевого взаимодействия.

содержания служебной информации в пакетах сообщений, передаваемых по сети;

условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);

программного обеспечения обработки данных.

4.2. Угрозы внедрения вредоносных программ (программно-математического воздействия) нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, на сегодняшний день существует большое количество вредоносных программ (по некоторым оценкам значительно превышает сто тысяч). Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать разновидность вредоносной программы, способы и последствия от ее внедрения (инфицирования).

5. Описание и анализ существующих угроз безопасности ПДн обрабатываемых в ИСПДн ЦА ФНС России

5.1. При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн за счет реализации следующих технических каналов утечки информации:

угрозы утечки акустической (речевой) информации;

угрозы утечки видовой информации;

угрозы утечки информации по каналам ПЭМИН.

5.2. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, а также при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

Утечка акустической (речевой) информации может быть осуществлена:

с помощью аппаратных закладок;

за счет съема виброакустических сигналов;

за счет излучений модулированных акустическим сигналом (микрофонный эффект и ВЧ облучение);

за счет оптического излучения, модулированного акустическим сигналом.

В ИСПДн ЦА ФНС России не реализованы функции голосового ввода ПДн в ИСПДн и акустические средства воспроизведения ПДн в ИСПДн ЦА ФНС России не предусмотрены.

Рассмотрение угроз утечки акустической (речевой) информации не целесообразно в связи с отсутствием предпосылок возникновения угроз.

5.3. Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн.

Утечка видовой информации может быть осуществлена:

за счет удаленного просмотра экранов дисплеев и других средств отображения информации;

с помощью видео аппаратных закладок

В ИСПДн ЦА ФНС России отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях или в непосредственной близости от них, соответственно отсутствует возможность непосредственного наблюдения посторонними лицами ПДн.

Рассмотрение угроз утечки видовой информации не целесообразно в связи с отсутствием предпосылок возникновения угроз.

5.4. Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.

Регистрация ПЭМИН осуществляется с целью перехвата информации, циркулирующей в технических средствах, осуществляющих обработку ПДн (средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приема и обработки ПДн, средствах и системах звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройствах, средствах изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации).

Утечка информации по каналам ПЭМИН может быть осуществлена:

за счет побочных электромагнитных излучений ЭВТ;

за счет наводок по цепям питания;

за счет радио излучений, модулированных информационным сигналом.

Реализация угроз безопасности ПДн, связанных с перехватом ПЭМИН в ИСПДн ЦА ФНС России, маловероятна, так как носители ПДн (технические средства ИСПДн, создающие физические поля, в которых информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин) находятся в пределах контролируемой зоны.

Реализация данного вида угроз маловероятна также из-за несоответствия стоимости средств съема информации и полученных в результате регистрации ПЭМИН данных, а защита ПДн от данного вида угроз - экономически нецелесообразна.

5.5. Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн. Кроме этого, источниками угроз НСД к информации в ИСПДн могут быть аппаратные закладки и отчуждаемые носители вредоносных программ.

В ИСПДн ЦА ФНС России возможны:

1) угрозы, реализуемые в ходе загрузки операционной системы:

перехват паролей или идентификаторов;

модификация базовой системы ввода/ вывода (BIOS), перехват управления загрузкой;

2) угрозы, реализуемые после загрузки операционной системы:

выполнение несанкционированного доступа с применением стандартных функций операционной системы;

утечка информации с использованием копирования ее на съемные носители;

утечка данных посредством печати информации;

утечка информации за счет ее несанкционированной передачи по каналам связи;

3) угрозы внедрения вредоносных программ с использованием съемных носителей;

4) угрозы утечки информации с помощью аппаратных закладок;

7) угрозы получения НСД путем подмены доверенного объекта:

обход системы идентификации и аутентификации сообщений;

обход системы идентификации и аутентификации сетевых объектов;

8) угрозы внедрения ложного объекта сети - перехват запросов и модификация адресных данных (с использованием протоколов SAP, ARP, DNS, WINS)

9) угрозы навязывания ложного маршрута - несанкционированное изменение маршрутно-адресных данных (с использованием протоколов RIP, OSPF, LSP, ICMP, SNMP)

10) угрозы выявления паролей:

перехват и взлом паролей;

подбор паролей доступа;

11) угрозы типа "Отказ в обслуживании";

12) угрозы удаленного запуска приложений:

внедрение троянских программ;

атаки типа "переполнение буфера";

с использованием средств удаленного управления;

13) угрозы внедрения по сети вредоносных программ:

внедрение вредоносных программ через почтовые сообщения;

внедрение вредоносных программ через обмен и загрузку файлов;

внедрение вредоносных программ через зараженные web страницы;

заражение сетевыми червями, использующими уязвимости сетевого ПО.

6. Общая характеристика источников угроз НСД

6.1. Источниками угроз НСД в ИСПДн могут быть:

носитель вредоносной программы;

аппаратная закладка.

нарушитель;

6.2. Носителем вредоносной программы может быть аппаратный элемент компьютера или программный контейнер. Если вредоносная программа не ассоциируется с какой-либо прикладной программой, то в качестве ее носителя рассматриваются:

отчуждаемый носитель, то есть дискета, оптический диск (CD-R, CD-RW), флэш-память, отчуждаемый винчестер и т.п.;

микросхемы внешних устройств (монитора, клавиатуры, принтера, модема, сканера и т.п.).

пакеты передаваемых по компьютерной сети сообщений;

файлы (текстовые, графические, исполняемые и т.д.).

6.3. В ИСПДн имеется опасность применения аппаратных средств, предназначенных для регистрации вводимой с клавиатуры информации, например:

аппаратная закладка внутри клавиатуры;

считывание данных с кабеля клавиатуры бесконтактным методом;

включение устройства в разрыв кабеля;

аппаратная закладка внутри системного блока и др.

В ИСПДн ЦА ФНС России отсутствует возможность неконтролируемого пребывания физических лиц в служебных помещениях или в непосредственной близости от них, соответственно отсутствует возможность установки аппаратных закладок посторонними лицами.

6.4. Нарушитель - данный источник угроз НСД для ИСПДн ЦА ФНС России является основным и подробно рассматривается в следующем разделе в рамках Модели нарушителя.

7. Модель нарушителя безопасности персональных данных, обрабатываемых в ИСПДн ЦА ФНС России

7.1. По наличию права постоянного или разового доступа в ИСПДн нарушители подразделяются на два типа:

внешние нарушители - нарушители, не имеющие доступа к ИСПДн, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

внутренние нарушители - нарушители, имеющие доступ к ИСПДн, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн.

7.1.1 Внешними нарушителями могут быть:

разведывательные службы государств;

криминальные структуры;

недобросовестные налогоплательщики (юридические лица);

недобросовестные партнеры;

внешние субъекты (физические лица).

Внешний нарушитель имеет следующие возможности:

осуществлять несанкционированный доступ к каналам связи, выходящим за пределы служебных помещений;

осуществлять несанкционированные доступ через информационные системы взаимодействующих ведомств, организаций и учреждений при их подключении к ИСПДн.

7.1.2. Возможности внутреннего нарушителя существенным образом зависят от действующих в пределах контролируемой зоны режимных и организационно-технических мер защиты, в том числе по допуску физических лиц к ПДн и контролю порядка проведения работ.

Внутренние потенциальные нарушители подразделяются на восемь категорий в зависимости от способа доступа и полномочий доступа к ПДн:

1) К первой категории относятся лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн.

Лицо этой категории может:

располагать именами и вести выявление паролей зарегистрированных пользователей;

2) Ко второй категории относятся зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места.

Лицо этой категории:

обладает всеми возможностями лиц первой категории;

знает по меньшей мере одно легальное имя доступа;

располагает конфиденциальными данными, к которым имеет доступ.

3) К третьей категории относятся зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам.

Лицо этой категории:

обладает всеми возможностями лиц первой и второй категорий;

имеет возможность прямого (физического) доступа к фрагментам технических средств ИСПДн.

4) К четвертой категории относятся зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о технических средствах и конфигурации сегмента (фрагмента) ИСПДн;

имеет доступ ко всем техническим средствам сегмента (фрагмента) ИСПДн;

5) К пятой категории относятся зарегистрированные пользователи с полномочиями системного администратора ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

Системный администратор выполняет конфигурирование и управление программным обеспечением и оборудованием, включая оборудование, отвечающее за безопасность защищаемого объекта: средства криптографической защиты информации, мониторинга, регистрации, архивации, защиты от НСД.

6) К шестой категории относятся зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн.

Лицо этой категории:

обладает всеми возможностями лиц предыдущих категорий;

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

7) К седьмой категории относятся программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте.

Лицо этой категории:

обладает информацией об алгоритмах и программах обработки информации на ИСПДн;

8) К восьмой категории относятся разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств в ИСПДн.

Лицо этой категории:

7.2. Указанные категории нарушителей должны учитываться при оценке возможностей реализации УБПДн.

Для ИСПДн ЦА ФНС России существует возможность реализации угроз НСД к ПДн со стороны внутренних потенциальных нарушителей, приведённых в Таблице N 1.

Таблица N 1

Категории нарушителей безопасности ПДн в ИСПДн ЦА ФНС России

Категория нарушителя (Kn)	Способ доступа и полномочия
*	Лица, имеющие санкционированный доступ к ИСПДн, но не имеющие доступа к ПДн. К этому типу нарушителей относятся должностные лица, обеспечивающие нормальное функционирование ИСПДн
*	Зарегистрированные пользователи ИСПДн, осуществляющие ограниченный доступ к ресурсам ИСПДн с рабочего места
*	Зарегистрированные пользователи ИСПДн, осуществляющие удаленный доступ к ПДн по локальным и (или) распределенным информационным системам
*	Зарегистрированные пользователи ИСПДн с полномочиями администратора безопасности сегмента (фрагмента) ИСПДн
*	Зарегистрированные пользователи с полномочиями системного администратора ИСПДн
*	Зарегистрированные пользователи с полномочиями администратора безопасности ИСПДн
*	Программисты-разработчики (поставщики) прикладного программного обеспечения и лица, обеспечивающие его сопровождение на защищаемом объекте
*	Разработчики и лица, обеспечивающие поставку, сопровождение и ремонт технических средств на ИСПДн

7. Общая характеристика уязвимостей ИСПДн

7.1. Уязвимость ИСПДн - недостаток или слабое место в системном или прикладном программном (программно-аппаратном) обеспечении автоматизированной информационной системы, которые могут быть использованы для реализации угрозы безопасности ПДн.

Причины возникновения уязвимостей:

ошибки при проектировании и разработке программного (программно-аппаратного) обеспечения;

внедрение вредоносных программ, создающих уязвимости в программном и программно-аппаратном обеспечении;

несанкционированные неумышленные действия пользователей, приводящие к возникновению уязвимостей;

7.2. К основным группам уязвимостей ИСПДн, относятся:

уязвимости системного программного обеспечения (в том числе протоколов сетевого взаимодействия);

уязвимости прикладного программного обеспечения (в том числе средств защиты информации).

7.3. Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем. При этом возможны уязвимости:

в микропрограммах, в прошивках запоминающих устройств;

в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.

7.3.1. Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой:

7.3.2. Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др.

7.4. Уязвимости прикладного программного обеспечения могут представлять собой:

8. Характеристика угроз непосредственного доступа в операционную среду ИСПДн

8.1. Угрозы доступа (проникновения) в операционную среду компьютера и несанкционированного доступа к ПДн связаны с доступом:

в среду функционирования прикладных программ (например, к локальной системе управления базами данных);

8.1.1. Угрозы безопасности информации, реализуемые в ходе загрузки операционной системы, направлены на перехват паролей или идентификаторов, модификацию программного обеспечения базовой системы ввода-вывода (BIOS), перехват управления загрузкой с изменением необходимой технологической информации для получения НСД в операционную среду ИСПДн. Чаще всего такие угрозы реализуются с использованием отчуждаемых носителей информации.

8.1.2. Угрозы, реализуемые после загрузки операционной среды (независимо от того, какая прикладная программа запускается пользователем), как правило, направлены на выполнение непосредственно несанкционированного доступа к информации. При получении доступа в операционную среду нарушитель может воспользоваться как стандартными функциями операционной системы или какой-либо прикладной программой общего пользования (например, системы управления базами данных), так и специально созданными для выполнения несанкционированного доступа программами, например:

программами просмотра и модификации реестра;

программами поиска текстов в текстовых файлах по ключевым словам и копирования;

специальными программами просмотра и копирования записей в базах данных;

программами быстрого просмотра графических файлов, их редактирования или копирования;

8.1.3. Угрозы, реализация которых определяется тем, какая из прикладных программ запускается пользователем, или фактом запуска любой из прикладных программ - это угрозы внедрения вредоносных программ.

9. Общая характеристика угроз безопасности ПДн, реализуемых с использованием протоколов межсетевого взаимодействия

9.1. Классификация угроз, реализуемых по сети, приведена в Таблице N 2. В ее основу положено семь первичных признаков классификации.

Таблица N 2

N п/п	Признак классификации	Тип угрозы	Описание
1	Характер угрозы	Пассивная угроза	угроза, при реализации которой не оказывается непосредственное влияние на работу ИСПДн, но могут быть нарушены установленные правила разграничения доступа к ПДн или сетевым ресурсам.
1	Характер угрозы	Активная угроза	угроза, связанная с воздействием на ресурсы ИСПДн, при реализации которой оказывается непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т.д.), с нарушением установленных правил разграничения доступа к ПДн или сетевым ресурсам.
2	Цель реализации угрозы	Угрозы, направленные на нарушение конфиденциальности
		Угрозы, направленные на нарушение целостности
		Угрозы, направленные на нарушение доступности
3	Условие начала осуществления процесса реализации угрозы	по запросу от объекта, относительно которого реализуется угроза	нарушитель ожидает передачи запроса определенного типа, который и будет условием начала осуществления несанкционированного доступа
		по наступлению ожидаемого события на объекте, относительно которого реализуется угроза	нарушитель осуществляет постоянное наблюдение за состоянием операционной системы ИСПДн и при возникновении определенного события в этой системе начинает действовать несанкционированный доступ
		безусловное воздействие	начало осуществления несанкционированного доступа безусловно по отношению к цели доступа, то есть угроза реализуется немедленно и безотносительно к состоянию системы
4	Наличие обратной связи с ИСПДн	с обратной связью	между нарушителем и ИСПДн существует обратная связь, которая позволяет нарушителю адекватно реагировать на все изменения, происходящие в ИСПДн
4	Наличие обратной связи с ИСПДн	без обратной связи	реализация угроз не требует реагировать на какие-либо изменения, происходящие в ИСПДн
5	Расположение нарушителя относительно ИСПДн	внутрисегментно	подключение осуществляется к аппаратным элементам ИСПДн
5	Расположение нарушителя относительно ИСПДн	межсегментно	нарушитель может располагаться как вне ИСПДн, реализуя угрозу из другой сети, так и в одном из сегментов ИСПДн, реализуя угрозу относительно технического средства ИСПДн, расположенного в другом сегменте ИСПДн
6	Уровень эталонной модели взаимодействия	Физический уровень модели ISO/OSI
		Канальный уровень модели ISO/OSI
		Сетевой уровень модели ISO/OSI
		Транспортный уровень модели ISO/OSI
		Сеансовый уровень модели ISO/OSI
		Представительный уровень модели ISO/OSI
		Прикладной уровень модели ISO/OSI
7	Соотношение количества нарушителей и элементов ИСПДн, относительно которых реализуется угроза	угроза "один к одному"	Реализуется одним нарушителем относительно одного технического средства ИСПДн
		угроза "один ко многим"	Реализуется одним нарушителем относительно нескольких технических средств ИСПДн
		Распределенные или комбинированные угрозы	Реализуется несколькими нарушителями с разных компьютеров относительно одного или нескольких технических средств ИСПДн

9.2. С учетом проведенной классификации можно выделить восемь угроз, реализуемых с использованием протоколов межсетевого взаимодействия:

анализ сетевого трафика;

сканирование сети;

угроза выявления пароля;

навязывание ложного маршрута сети;

внедрение ложного объекта сети;

отказ в обслуживании;

удаленный запуск приложений.

9.2.1. Анализ сетевого трафика - эта угроза реализуется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель:

изучает логику работы ИСПДн - то есть, стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволяет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

9.2.2 Сканирование сети - сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них.

9.2.3. Угроза выявления пароля - цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя "проход" для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

9.2.4.Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа - такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

9.2.5. Навязывание ложного маршрута сети - угроза реализуется одним из двух способов: путем внутрисегментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности, из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИСПДн. Реализация угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.

9.2.6. Внедрение ложного объекта сети - угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае, если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например, SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность перехвата нарушителем поискового запроса и выдачи на него ложного ответа, использование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети.

9.2.7.Отказ в обслуживании - угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты.

Могут быть выделены несколько разновидностей таких угроз:

9.2.8.Удаленный запуск приложений - угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, вирусы, "сетевые шпионы", основная цель которых - нарушение конфиденциальности, целостности, доступности информации и полный контроль за работой хоста. Кроме того, возможен несанкционированный запуск прикладных программ пользователей для несанкционированного получения необходимых нарушителю данных, для запуска управляемых прикладной программой процессов и др.

Выделяют три подкласса данных угроз:

распространение файлов, содержащих несанкционированный исполняемый код. Типовые угрозы этого подкласса основываются на активизации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в виде макрокоманд (документы Microsoft Word, Excel и т.п.); html-документы, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содержащие исполняемые коды программ. Для распространения файлов могут использоваться службы электронной почты, передачи файлов, сетевой файловой системы;

удаленный запуск приложения путем переполнения буфера приложений-серверов. При угрозах этого подкласса используются недостатки программ, реализующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процессор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного "вируса Морриса";

удаленный запуск приложения путем использования возможностей удаленного управления системой, предоставляемых скрытыми программными и аппаратными закладками, либо используемыми штатными средствами. При угрозах этого подкласса нарушитель использует возможности удаленного управления системой, предоставляемые скрытыми компонентами (например, "троянскими" программами типа Back Orifice, Net Bus), либо штатными средствами управления и администрирования компьютерных сетей (Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.

10. Общая характеристика угроз программно-математических воздействий

10.1. Программно-математическое воздействие - это воздействие с помощью вредоносных программ. Программой с потенциально опасными последствиями или вредоносной программой называют некоторую самостоятельную программу (набор инструкций), которая способна выполнять любое непустое подмножество следующих функций:

скрывать признаки своего присутствия в программной среде компьютера;

разрушать (искажать произвольным образом) код программ в оперативной памяти;

10.2. Вредоносные программы могут быть внесены (внедрены) как преднамеренно, так и случайно в программное обеспечение, используемое в ИСПДн, в процессе его разработки, сопровождения, модификации и настройки. Кроме этого, вредоносные программы могут быть внесены в процессе эксплуатации ИСПДн с внешних носителей информации или посредством сетевого взаимодействия как в результате НСД, так и случайно пользователями ИСПДн.

10.3. Основными видами вредоносных программ являются:

программные закладки;

классические программные (компьютерные) вирусы;

вредоносные программы, распространяющиеся по сети (сетевые черви);

другие вредоносные программы, предназначенные для осуществления НСД.

Вредоносными программами, обеспечивающими осуществление НСД, могут быть:

программы подбора и вскрытия паролей;

программы, реализующие угрозы;

программы-генераторы компьютерных вирусов;

программы, демонстрирующие уязвимости средств защиты информации и др.

11. Общая характеристика нетрадиционных информационных каналов

11.1. Нетрадиционный информационный канал - это канал скрытной передачи информации с использованием традиционных каналов связи и специальных преобразований передаваемой информации, не относящихся к криптографическим.

11.2. Для формирования нетрадиционных каналов могут использоваться методы:

компьютерной стеганографии*;

11.2.1. Методы компьютерной стеганографии предназначены для скрытия факта передачи сообщения путем встраивания скрываемой информации во внешне безобидные данные (текстовые, графические, аудио- или видеофайлы) и включают в себя две группы методов, основанных:

на использовании специальных свойств компьютерных форматов хранения и передачи данных;

11.2.2. В нетрадиционных информационных каналах, основанных на манипуляции различными характеристиками ресурсов ИСПДн, используются для передачи данных некоторые разделяемые ресурсы. При этом в каналах, использующих временные характеристики, осуществляется модуляция по времени занятости разделяемого ресурса (например, модулируя время занятости процессора, приложения могут обмениваться данными). В каналах памяти ресурс используется как промежуточный буфер (например, приложения могут обмениваться данными путем помещения их в имена создаваемых файлов и директорий). В каналах баз данных и знаний используют зависимости между данными, возникающими в реляционных базах данных и знаний.

Нетрадиционные информационные каналы могут быть сформированы на различных уровнях функционирования ИСПДн:

на аппаратном уровне;

на уровне микрокодов и драйверов устройств;

на уровне операционной системы;

на уровне прикладного программного обеспечения;

на уровне функционирования каналов передачи данных и линий связи.

12. Общая характеристика результатов несанкционированного или случайного доступа

12.1. Реализация угроз НСД к информации может приводить к следующим видам нарушения ее безопасности:

- нарушению конфиденциальности (копирование, неправомерное распространение), которое может быть осуществлено в случае утечки информации за счет:

копирования ее на отчуждаемые носители информации;

передачи ее по каналам передачи данных;

при просмотре или копировании ее в ходе ремонта, модификации и утилизации программно-аппаратных средств;

при "сборке мусора" нарушителем в процессе эксплуатации ИСПДн;

- нарушению целостности (уничтожение, изменение) за счет воздействия (модификации) на программы и данные пользователя, а также технологическую (системную) информацию, включающую:

микропрограммы, данные и драйвера устройств вычислительной системы;

программы, данные и драйвера устройств, обеспечивающих загрузку операционной системы;

программы и данные (дескрипторы, описатели, структуры, таблицы и т.д.) операционной системы;

программы и данные прикладного программного обеспечения;

программы и данные специального программного обеспечения;

конфигурацией сети;

адресами и маршрутизацией передачи данных в сети;

функциональным контролем сети;

безопасностью информации в сети;

- нарушению доступности (блокирование) путем формирования (модификации) исходных данных, которые при обработке вызывают неправильное функционирование, отказы аппаратуры или захват (загрузку) вычислительных ресурсов системы, которые необходимы для выполнения программ и работы аппаратуры.

средств обработки информации;

средств ввода/вывода информации;

средств хранения информации;

аппаратуры и каналов передачи;

средств защиты информации.

13. Определение уровня исходной защищенности ИСПДн ЦА ФНС России

13.1. Под уровнем исходной защищенности понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик ИСПДн (*) . Показатели исходной защищенности ИСПДн приведены в Таблице N 3.

Таблица N 3

Технические и эксплуатационные характеристики ИСПДн ФНС	Уровень защищенности
Технические и эксплуатационные характеристики ИСПДн ФНС	Высокий	Средний	Низкий
1. По территориальному размещению: распределенная ИСПДн, которая охватывает более одного объекта	-	+	-
2. По наличию соединения с сетями общего пользования: ИСПДн, физически отделенная от сети общего пользования	-	+	-
3. По встроенным (легальным) операциям с записями баз персональных данных:
- чтение, поиск; - запись, удаление, сортировка; - модификация, передача.	- - -	+ + -	- - +
4. По разграничению доступа к персональным данным: ИСПДн, к которой имеет доступ определенный перечень сотрудников организации, являющийся владельцем ИСПДн, либо субъект ПДн	-	+	-
5. По наличию соединений с другими базами ПДн иных ИСПДн: ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу данной ИСПДн	-	+	-
6. По уровню обобщения (обезличивания) ПДн: ИСПДн, в которой предоставляемые пользователю данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)	-	-	+
7. По объему ПДн, которые предоставляются сторонним пользователям ИСПДн без предварительной обработки: ИСПДн, не предоставляющие никакой информации	-	+	-

13.2. В соответствии с Таблицей N 3, менее 70% характеристик ИСПДн соответствуют уровню не ниже "средний", следовательно *.

ИСПДн имеет среднюю степень исходной защищенности.

14. Определение вероятности реализации угроз в ИСПДн ЦА ФНС России

14.1. Под вероятностью реализации угрозы поднимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализации конкретной угрозы безопасности ПДн для данной ИСПДн в складывающихся условиях обстановки.

14.2. Показатель вероятности (*) определяется по 4 градациям этого показателя и представлен в Таблице N 4.

Таблица N 4

Градация	Описание	Показатель вероятности (Y2 )
маловероятно	отсутствуют объективные предпосылки для осуществления угрозы	*
низкая вероятность	объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию	*
средняя вероятность	объектные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности ПДн недостаточны	*
высокая вероятность	объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности ПДн не приняты	*

14.3. Оценка вероятности реализации угрозы безопасности различными категориями нарушителей (*) приведена в Таблице N 4.1.

Таблица N 4.1

Угроза безопасности ПДн	Коэффициент вероятности реализации угрозы нарушителем категории Кn
Угроза безопасности ПДн	*	*	*	*	*	*	*	*	Итог *
угроза модификации базовой системы ввода/вывода (BIOS),	2	0	0	2	2	2	2	2	2
угроза перехвата управления загрузкой	0	0	0	0	2	2	2	0	0
угроза НСД с применением стандартных функций операционной системы	0	0	2	2	5	5	2	2	2
угроза НСД с помощью прикладной программы	0	0	0	0	2	2	2	0	0
угроза НСД с применением специально созданных для этого программ	0	0	2	0	0	0	2	0	0
угроза НСД при передаче информации по внешним каналам	0	0	2	0	0	0	0	0	0
угроза утечки информации при удаленном доступе к информационным ресурсам	0	0	2	0	0	0	0	0	0
угроза утечки информации с использованием копирования ее на съемные носители;	0	2	0	5	5	5	5	2	5
угроза утечки данных посредством печати информации, содержащей персональные данные;	0	2	0	5	5	5	5	2	5
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	0	2	2	2	2	2	2	0	2
угроза внедрения вредоносных программ с использованием съемных носителей	5	5	5	2	2	2	2	2	2
угроза "Анализа сетевого трафика"	2	0	0	2	2	2	0	0	2
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др	2	0	0	2	2	2	0	0	2
угроза обхода системы идентификации и аутентификации сообщений	0	0	0	0	0	0	2	0	0
угроза обхода системы идентификации и аутентификации сетевых объектов	0	2	2	2	2	2	2	0	2
угроза внедрения ложного объекта сети	2	2	2	2	2	2	0	0	2
угроза навязывания ложного маршрута	0	0	2	0	2	2	0	0	0
угроза перехвата и взлома паролей	0	0	0	0	2	2	0	0	0
угроза подбора паролей доступа	2	2	2	2	2	2	2	0	2
угроза типа "Отказ в обслуживании"	2	0	0	2	2	2	0	0	2
угроза внедрения троянских программ	2	0	0	2	2	2	0	0	2
угроза атаки типа "переполнение буфера";	2	0	0	2	2	2	2	0	2
угроза удаленного запуска приложений с использованием средств удаленного управления	0	0	0	0	2	2	0	0	0
угроза внедрения вредоносных программ через почтовые сообщения	2	0	0	2	2	2	0	0	2
угроза внедрения вредоносных программ через обмен и загрузку файлов	2	0	0	2	2	2	0	0	2
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	2	0	0	2	2	2	0	0	2

Нумерация пунктов приводится в соответствии с источником

1.4. По итогам оценки уровня исходной защищенности (*) и вероятности реализации угрозы (*), рассчитывается коэффициент реализуемости угрозы (Y) и определяется возможность реализации угрозы (Таблица N 4.1). Коэффициент реализуемости угрозы рассчитывается по формуле: * (Таблица N 4.2).

Таблица N 4.2

Угроза безопасности ПДн	Коэффициент реализуемости угрозы (Y)	Возможность реализации угрозы
угроза модификации базовой системы ввода/вывода (BIOS),	0,6	средняя
угроза перехвата управления загрузкой	0,5	средняя
угроза НСД с применением стандартных функций операционной системы	0,6	средняя
угроза НСД с помощью прикладной программы	0,6	средняя
угроза НСД с применением специально созданных для этого программ	0,5	средняя
угроза НСД при передаче информации по внешним каналам	0,5	средняя
угроза утечки информации при удаленном доступе к информационным ресурсам	0,5	средняя
угроза утечки информации с использованием копирования ее на съемные носители;	0,75	высокая
угроза утечки данных посредством печати информации, содержащей персональные данные	0,6	средняя
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	0,6	средняя
угроза внедрения вредоносных программ с использованием съемных носителей	0,6	средняя
угроза "Анализа сетевого трафика"	0,6	средняя
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др	0,6	средняя
угроза обхода системы идентификации и аутентификации сообщений	0,5	средняя
угроза обхода системы идентификации и аутентификации сетевых объектов	0,6	средняя
угроза внедрения ложного объекта сети	0,6	средняя
угроза навязывания ложного маршрута	0,6	средняя
угроза перехвата и взлома паролей	0,6	средняя
угроза подбора паролей доступа	0,6	средняя
угроза типа "Отказ в обслуживании"	0,6	средняя
угроза внедрения троянских программ	0,6	средняя
угроза атаки типа "переполнение буфера";	0,6	средняя
угроза удаленного запуска приложений с использованием средств удаленного управления	0,6	средняя
угроза внедрения вредоносных программ через почтовые сообщения	0,6	средняя
угроза внедрения вредоносных программ через обмен и загрузку файлов	0,6	средняя
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	0,6	средняя

15. Оценка опасности угроз ИСПДн ЦА ФНС РОССИИ

15.1. Оценка опасности производится на основе опроса специалистов по защите информации и определяется вербальным показателем опасности, который имеет 3 значения:

низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

15.2. Оценка опасности приведена в Таблице N 5.

Таблица N 5

Угроза безопасности ПДн	Опасность угроз
угроза модификации базовой системы ввода/вывода (BIOS),	низкая
угроза перехвата управления загрузкой	низкая
угроза НСД с применением стандартных функций операционной системы	средняя
угроза НСД с помощью прикладной программы	низкая
угроза НСД с применением специально созданных для этого программ	низкая
угроза НСД при передаче информации по внешним каналам	средняя
угроза утечки информации при удаленном доступе к информационным ресурсам	средняя
угроза утечки информации с использованием копирования ее на съемные носители;	высокая
угроза утечки данных посредством печати информации, содержащей персональные данные;	высокая
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	низкая
угроза внедрения вредоносных программ с использованием съемных носителей	средняя
угроза "Анализа сетевого трафика"	средняя
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	низкая
угроза обхода системы идентификации и аутентификации сообщений	низкая
угроза обхода системы идентификации и аутентификации сетевых объектов	низкая
угроза внедрения ложного объекта сети	низкая
угроза навязывания ложного маршрута	низкая
угроза перехвата и взлома паролей	низкая
угроза подбора паролей доступа	высокая
угроза типа "Отказ в обслуживании"	низкая
угроза внедрения троянских программ	средняя
угроза атаки типа "переполнение буфера"	низкая
угроза удаленного запуска приложений с использованием средств удаленного управления	низкая
угроза внедрения вредоносных программ через почтовые сообщения	низкая
угроза внедрения вредоносных программ через обмен и загрузку файлов	низкая
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	низкая

16. Перечень актуальных УБПДн в ИСПДн ЦА ФНС РОССИИ

16.1. Отнесение угрозы к актуальной производится по правилам, приведенным в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной заместителем директора ФСТЭК России 14.02.2008 (Таблица N 6).

Таблица N 6

Возможность реализации угрозы	Показатель опасности угрозы
Возможность реализации угрозы	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

16.2. В соответствии с правилами отнесения угроз безопасности к актуальным, для ИСПДн ЦА ФНС России существуют следующие актуальные угрозы (Таблица N 6.1).

Таблица N 6.1

Угроза безопасности ПДн	Актуальность угрозы
угроза модификации базовой системы ввода/вывода (BIOS)	неактуальная
угроза перехвата управления загрузкой	неактуальная
угроза НСД с применением стандартных функций операционной системы	актуальная
угроза НСД с помощью прикладной программы	неактуальная
угроза НСД с применением специально созданных для этого программ	неактуальная
угроза НСД при передаче информации по внешним каналам	актуальная
угроза утечки информации при удаленном доступе к информационным ресурсам	актуальная
угроза утечки информации с использованием копирования ее на съемные носители	актуальная
угроза утечки данных посредством печати информации, содержащей персональные данные;	актуальная
угроза утечки информации за счет ее несанкционированной передачи по каналам связи	неактуальная
угроза внедрения вредоносных программ с использованием съемных носителей	актуальная
угроза "Анализа сетевого трафика"	актуальная
угроза сканирования направленного на выявление открытых портов и служб, открытых соединений и др.	неактуальная
угроза обхода системы идентификации и аутентификации сообщений	неактуальная
угроза обхода системы идентификации и аутентификации сетевых объектов	неактуальная
угроза внедрения ложного объекта сети	неактуальная
угроза навязывания ложного маршрута	неактуальная
угроза перехвата и взлома паролей	неактуальная
угроза подбора паролей доступа	актуальная
угроза типа "Отказ в обслуживании"	неактуальная
угроза внедрения троянских программ	актуальная
угроза атаки типа "переполнение буфера";	неактуальная
угроза удаленного запуска приложений с использованием средств удаленного управления	неактуальная
угроза внедрения вредоносных программ через почтовые сообщения	неактуальная
угроза внедрения вредоносных программ через обмен и загрузку файлов	неактуальная
угроза заражения сетевыми червями, использующими уязвимости сетевого ПО	неактуальная

16.3. Таким образом, актуальными угрозами безопасности ПДн в ИСПДн ЦА ФНС России являются:

угроза НСД с применением стандартных функций операционной системы;

угроза НСД при передаче информации по внешним каналам;

угроза утечки информации при удаленном доступе к информационным ресурсам;

угроза утечки информации с использованием копирования ее на съемные носители;

угроза утечки данных посредством печати информации, содержащей персональные данные;

угроза внедрения вредоносных программ с использованием съемных носителей;

угроза "Анализа сетевого трафика";

угроза подбора паролей доступа;

угроза внедрения троянских программ.

16.4. Созданная и функционирующая в настоящий момент система информационной безопасности (далее - СИБ) ФНС России на объекте информатизации ЦА ФНС России, помимо комплекса организационных мер, использует следующие средства и методы защиты информации:

межсетевые экраны Dionis TS/FW;

средства управления доступом в систему (Active Directory);

методы и средства аутентификации пользователей КриптоПро Winlogon;

средства криптографической защиты информации: DiPost Crypto, DiSign, DiKey; СКЗИ Кпипто Про CSP 3.0;

автоматизированную систему управления печатью и мониторинга АСУПиМ;

средства антивирусной защиты Kaspersky Total Space Security.

16.5. Использование в составе СИБ данных средств и методов защиты информации позволяет достаточно эффективно обеспечить защиту ПДн и существенно снизить вероятность реализации следующих актуальных угроз безопасности ПДн в ИСПДн ЦА ФНС России:

угроза НСД при передаче информации по внешним каналам;

угроза утечки информации при удаленном доступе к информационным ресурсам;

угроза утечки данных посредством печати информации, содержащей персональные данные;

угроза подбора паролей доступа;

угроза внедрения вредоносных программ с использованием съемных носителей;

угрозы внедрения троянских программ;

угроза "Анализа сетевого трафика".

17. Заключение

17.1. Результаты моделирования УБПДн показывают, что в ИСПДн ЦА ФНС России требуется проведение дополнительных мероприятий по доработке (модернизации) существующей СИБ ФНС России для организации эффективного противодействия следующим актуальным угрозам безопасности ПДн:

- угрозе НСД с применением стандартных функций операционной системы;

- угрозе утечки информации с использованием копирования ее на съемные носители.

17.2. Построенная Модель угроз безопасности ПДн в ИСПДн ЦА ФНС России применима к существующему состоянию ИСПДн ЦА ФНС России при условии соблюдения основных (базовых) исходных данных:

технические средства ИСПДн находятся в пределах контролируемой зоны;

ИСПДн отделена от сетей общего пользования, включая сеть Интернет;

отсутствует возможность неконтролируемого пребывания посторонних лиц в служебных помещениях ИСПДн и др.

17.3. В случае несоблюдения и/или изменения вышеуказанных условий Модель угроз безопасности ПДн в ИСПДн ЦА ФНС России должна быть пересмотрена.

______________________________

* Стеганография - искусство прятать информацию среди другой информации.

Приложение N 4

Технические требования
на систему защиты персональных данных в составе информационных систем персональных данных центрального аппарата ФНС России
(утв. приказом Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@)

1. Общие сведения

1.1. Настоящие Технические требования на систему защиты персональных данных в составе информационных систем персональных данных центрального аппарата ФНС России содержат перечень требований к системе защиты персональных данных в составе информационных систем персональных данных центрального аппарата ФНС России (далее - СЗПДн ЦА ФНС России) с учетом существующей и фукционирующей системы информационной безопасности (далее - СИБ) ФНС России и используемых организационных и технических методов и средств защиты информации.

Уточнение и дополнение настоящих требований может производиться в ходе обследования защищаемой информационной системы в соответствии с нормативно-методическим документом "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)", утвержденным приказом Гостехкомиссии России от 30.08.2002 N 282, ГОСТ 51583-2000 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении", ГОСТ Р ИСО/МЭК 27001-2005 "Информационные технологии. Технологии безопасности. Система управления информационной безопасностью", ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью".

1.2. СЗПДн ЦА ФНС России предназначена для усиления СИБ ФНС России в части обеспечения безопасности информационных систем и ресурсов налоговых органов в соответствии с требованиями и рекомендациями нормативных документов по защите персональных данных (далее - ПДн) и Концепции информационной безопасности ФНС России, утвержденной приказом ФНС России от 29.08.2006 N САЭ-3-27/559@ (далее - Концепция ИБ ФНС России).

1.3. Целью СЗПДн ЦА ФНС России является предотвращение возможного ущерба и других негативных последствий в результате реализации угроз нарушения безопасности информационной системы, обеспечение устойчивого функционирования информационной инфраструктуры ФНС России в соответствии с требованиями Концепции ИБ ФНС России, Руководящих документов регулирующих органов, стандартов и рекомендаций по защите ПДн и управление информационной безопасностью.

1.4. Совокупные затраты на обеспечение безопасности ИСПДн ЦА ФНС России должны соответствовать уровню рисков нарушения безопасности информации и возможным финансовым, юридическим и прочим последствиям таких нарушений.

1.5. Для достижения указанных целей в ходе модернизации СЗПДн ЦА ФНС России следует решить следующие задачи:

оценка эффективности существующей СИБ в части текущего уровня защищенности ПДн в ИСПДн ЦА ФНС России на организационном, технологическом и техническом уровнях;

разработка рекомендаций по совершенствованию существующей СИБ, повышению уровня защищенности и эффективности существующих механизмов обеспечения безопасности ПДн в ИСПДн ЦА ФНС России;

разработка Политики обеспечения безопасности ПДн в ИСПДн ЦА ФНС России;

внедрение недостающих элементов СЗПДн ЦА ФНС России.

2. Характеристика объекта информатизации - ЦА ФНС России

2.1. Объектами информатизации являются информационно-вычислительные системы ЦА ФНС России. Локальная сеть ЦА ФНС России объединяет более 1100 рабочих станций (769 - в домене, остальные АРМ - для доступа в сеть Интернет и обмена информацией с МИ ФНС России по ЦОД) и 63 сервера приложений и баз данных.

Пропускная способность проходных каналов связи в сети не менее 100 Мбит/с.

Для ЦА ФНС России характерен свой набор информационных систем, в которых осуществляется обработка ПДн. Перечень и основные характеристики этих систем применительно к ЦА ФНС России приведены в таблице N 1.

Таблица N 1

Перечень и характеристики основных информационных систем ЦА ФНС России, в которых осуществляется обработка ПДн

Тип ОИ	Ресурс	Информационные системы и программные комплексы, составляющие ресурс	Обработка ПДн	Кол-во субъектов ПДн	Совершаемые операции
ЦА ФНС России
	Кадры	АИС "Кадры"	Осуществляется	менее 100000	запись, чтение, модификация, удаление
	Финансовое обеспечение	ПК "Бухгалтерский учет и финансирование"	Осуществляется	менее 10 000	запись, чтение, модификация

3. Основные требования к СЗПДн

3.1. СЗПДн ЦА ФНС России должна иметь возможность централизованного управления. После внедрения СЗПДн ЦА ФНС России должна предусматриваться возможность расширения без внесения существенных изменений в существующие и создаваемые автоматизированные информационные системы.

3.2. При построении СЗПДн ЦА ФНС России должны учитываться следующие принципы.

Открытость - возможность дополнения и расширения функций СЗПДн:

расширение функциональных возможностей системы;

подключение новых программно-аппаратных комплексов защиты.

Масштабируемость - возможность системы адаптироваться к расширению предъявляемых требований и возрастанию объемов решаемых задач:

наращивание объемов хранимой и обрабатываемой информации СЗПДн;

увеличение числа обслуживаемых пользователей без существенного снижения эксплуатационных характеристик системы;

включение в объект защиты новых элементов - информационных ресурсов и автоматизированных информационных систем.

Управляемость - возможность управлять ходом функционирования системы при блокировании пользователя (системы), нарушении режимов работы системы защиты, правил эксплуатации ее компонентов с целью обеспечения следующих характеристик:

объем и содержание функциональных возможностей системы должны определяться, устанавливаться, изменяться, дополняться и удаляться централизованно администратором/администраторами безопасности;

деятельность пользователей и администраторов должна автоматически регистрироваться в журналах аудита и автоматически анализироваться на соответствие требованиям безопасности.

3.3. В соответствии с требованиями постановления Правительства Российской Федерации от 17.11.2007 N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" ("Российская газета", 2007, N 260), средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия.

4. Требования к составу СЗПДн ЦА ФНС России

4.1. Cостав мероприятий по защите ПДн при их обработке в ИСПДн ЦА ФНС России определяется на основании Частной модели угроз и нарушителя безопасности персональных данных при их обработке в информационной системе персональных данных ЦА ФНС России.

4.2. Мероприятия по защите ПДн должны быть реализованы в рамках соответствующих подсистем СЗПДн:

управления доступом;

регистрации и учета;

обеспечения целостности;

обнаружения вторжений.

4.3. Мероприятия по обнаружению вторжений в ИСПДн проводятся в соответствии с требованиями нормативных документов Федеральной службы безопасности Российской Федерации.

Кроме этого, в ИСПДн должен проводиться контроль на наличие недекларированных возможностей в программном и программно-аппаратном обеспечении и анализ защищенности системного и прикладного программного обеспечения.

Таким образом, для эффективного противодействия выявленным актуальным угрозам безопасности ПДн при их обработке в ИСПДн, как специальной ИСПДн класса К2 с многопользовательским режимом обработки ПДн и разными правами доступа к ним пользователей, должен быть проведен комплекс мероприятий по каждой подсистеме СЗПДн.

5. Требования к численности и квалификации персонала

5.1. Для обеспечения корректной эксплуатации СЗПДн назначаются квалифицированные работники, выполняющие функции администратора ИСПДн и администратора безопасности.

В ходе выполнения работ по внедрению и опытной эксплуатации СЗПДн должно быть предусмотрено предварительное проведение обучения системных администраторов и администраторов безопасности по установке, настройке, администрированию и эксплуатации, применяемых средств защиты информации, а также пользователей порядку работы в сегменте обработки ПДн.

Предварительное обучение администраторов ИСПДн и администраторов безопасности осуществляется в ходе установки, настройки и администрирования СЗПДн. Последующее обучение администраторов ИСПДн и администраторов безопасности ИСПДн проводится на специализированных курсах. Курсы уточняются на этапе рабочего проектирования.

Число подготовленных администраторов безопасности, необходимых для эксплуатации СЗПДн ЦА ФНС России, должно быть не менее четырех.

Функции администратора безопасности может выполнять технический специалист, совмещающий несколько должностей, например - администратор сети.

6. Общие показатели назначения

6.1. По требованиям оценки соответствия работы СЗПДн настоящему частному техническому заданию система должна обеспечивать:

защиту ПДн от НСД;

контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

обнаружение вторжений с производительностью не менее 350 Мбит/с;

автоматическое уведомление о попытках нарушения правил разграничения доступа;

автоматическое уведомление о попытках проведения сетевых атак;

возможность ее совершенствования и модернизации;

соблюдение установленных правил разграничения доступа при взаимодействии сегмента ПДн с другими сегментами информационной системы ЦА ФНС России (ЛВС);

регистрацию и учет всех событий нарушения безопасности.

6.2. По требованиям к степени приспособляемости системы к отклонениям параметров объекта автоматизации система должна обеспечивать:

1) масштабируемость по:

количеству пользователей;

количеству одновременно работающих пользователей;

скорости обмена информацией по каналам связи;

количеству обрабатываемой информации;

2) настройку и изменение конфигурации автоматизированных рабочих мест (АРМ) пользователей.

7. Требования к надежности

Нумерация пунктов приводится в соответствии с источником

8.1. Надежность системы определяется надежностью общесистемного программного обеспечения, программного обеспечения функциональных подсистем и комплекса технических средств.

8.2. Технические решения должны обеспечивать:

сохранение работоспособности системы при отказе или выходе из строя по любым причинам ЛВС;

сохранение всей накопленной на момент отказа или выхода из строя информации при отказе любого компонента системы независимо от его назначения, с последующим восстановлением после проведения ремонтных и восстановительных работ функционирования системы.

8.3. Показатели надежности включают:

среднее время между выходом из строя отдельных компонентов системы;

среднее время на обслуживание, ремонт или замену вышедшего из строя компонента;

среднее время на восстановление работоспособности системы.

Показатели надежности системы должны достигаться комплексом организационно-технических мер, обеспечивающих доступность ресурсов, их управляемость и ремонтопригодность.

8.4. Технические меры по обеспечению надежности должны предусматривать резервирование критически важных компонентов и данных системы и отсутствие единой точки отказа.

8.5. Организационные меры по обеспечению надежности должны быть направлены на минимизацию ошибок персонала и пользователей, а также персонала службы эксплуатации при эксплуатации и проведении работ по обслуживанию комплекса технических средств системы, минимизацию времени ремонта или замены вышедших из строя компонентов за счет:

квалификации персонала;

квалификации обслуживающего персонала;

регламентации и нормативного обеспечения выполнения работ персонала;

регламентации проведения работ и процедур по обслуживанию и восстановлению системы;

своевременной диагностики неисправностей;

наличия договоров на сервисное обслуживание и поддержку компонентов комплекса технических средств (КТС).

8.6. На этапе технического проекта должны быть сформулированы дополнительные требования к обеспечению надежности СЗПДн. Исходя из этих требований, должны быть сформулированы требования к резервированию отдельных компонентов СЗПДн.

8.7. Перечень аварийных ситуаций, по которым должны быть регламентированы требования к надежности, и значения соответствующих показателей приведены в Таблице N 2.

Таблица N 2

Параметры восстановления работоспособности

Наименование аварийной ситуации	Среднее время восстановления работоспособности	Примечание
Отсутствие электропитания	20 мин	После восстановления электропитания. При пропадании электропитания до 60 минут - работоспособность должна обеспечиваться за счет использования UPS.
Отсутствие (обрыв) линий связи	20 мин	После восстановления линий связи
Отказ технических средств	1 час	При отказе сервера время восстановления работоспособности зависит от структуры комплекса технических средств, но не должно быть более 1 часа
Потеря информации после несанкционированных действии пользователей и обслуживающего персонала.	30 мин	Восстановление с резервной копии. Повторение ранее выполненных транзакций и анализ ситуации не входит в среднее время восстановления работоспособности.
Отказ операционной системы, обеспечивающей функционирование локальной сети	1 час	В аппаратной части Системы должна быть предусмотрена быстрая замена любой ее части на резервную, с дублированием функций соответствующих программных средств.

8.8. Сохранность работоспособности системы в целом должна обеспечиваться при возникновении локальных отказов компонентов системы:

отказ любой функциональной подсистемы;

отказ линии связи или сегмента ЛВС;

отказ АРМ обслуживающего персонала и/или пользователя.

Полный перечень отказов и их критериев уточняется на стадии разработки рабочей документации и согласовывается протоколом с заказчиком.

8.9. Сохранность информации должна обеспечиваться при следующих аварийных ситуациях:

- нарушения электропитания:

провалы напряжения - кратковременные понижения при резком увеличении нагрузки в электрической сети;

высоковольтные импульсы - кратковременные значительные увеличения напряжения;

полное отключение электроэнергии - полное отключение электроэнергии вследствие аварий, перегрузок;

слишком большое напряжение - кратковременное увеличение напряжения в сети;

нестабильность частоты силовой сети;

- сбой общесистемного программного обеспечения;

- ошибки в работе персонала;

- выход из строя комплекса технических средств за счет аварий техногенного характера - повреждение внешних каналов связи, нарушение системы электропитания здания, повреждение системы водоснабжения здания и т.д.;

- выход из строя элемента сетевой инфраструктуры системы.

9. Требования к безопасности

9.1. Обслуживающий персонал системы должен соблюдать правила техники безопасности для работ, связанных с эксплуатацией электрооборудования.

Все оборудование, входящее в состав системы, должно соответствовать современным отечественным и международным стандартам в области безопасности.

9.2. Все компьютеры и периферийные устройства должны иметь гигиенические сертификаты соответствия.

10. Требования по эргономике и технической эстетике

10.1. Процедуры установки программного обеспечения СЗПДн и администрирования СЗПДн должны быть реализованы в диалоговом режиме и содержать встроенные средства помощи (подсказки возможных дальнейших действий) пользователю.

При построении СЗПДн должны быть использованы программные продукты с русскоязычным интерфейсом пользователя.

11. Требования по условиям эксплуатации

11.1. Система должна эксплуатироваться круглосуточно.

Обработка информации должна обеспечиваться в реальном режиме времени.

Серверы должны находиться в серверном помещении центрального аппарата ФНС России.

Активное оборудование должно располагаться в специальных шкафах, обеспечивающих защиту от несанкционированного физического доступа.

Технические средства СЗПДн должны выполнять свои функции при непрерывной и круглосуточной работе.

11.2. Питание электроэнергией должно осуществляться от однофазной сети переменного тока напряжением 220 В (+10%; -15%) и частотой 50 Гц * с глухозаземленной нейтралью.

11.3. Время приведения СЗПДн в готовность к работе из режима технического обслуживания (включения ТС) не должно превышать 30 минут;

11.4. Технические средства СЗПДн должны отвечать условиям хранения в упаковке предприятия-изготовителя в отапливаемом помещении при температуре окружающего воздуха от +5°С до +40°С при относительной влажности не более 80%.

11.5. Гарантийный срок эксплуатации СЗПДн должен составлять 1 год, а срок службы - не менее 7 лет с момента ввода в эксплуатацию.

12. Требования к функциям СЗПДн

12.1. СЗПДн должна обеспечивать выполнение требований законодательства Российской Федерации в области обеспечения информационной безопасности:

обеспечить конфиденциальность, целостность и доступность информации, обрабатываемой в ИСПДн;

обеспечить защиту обрабатываемых персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий (организационными и техническими мерами);

обеспечить централизованное управление средствами СЗПДн.

12.2. В подсистеме управления доступом, с учётом уже реализованных в СИБ ФНС России функций, должны быть реализованы следующие мероприятия:

идентификация технических средств обработки ПДн, узлов ИСПДн, каналов связи, внешних устройств ИСПДн по их логическим адресам (именам);

идентификация компьютеров, узлов сети ИСПДн, каналов связи, внешних устройств компьютеров по логическим именам;

идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

12.3. В подсистеме регистрации и учета, с учётом уже реализованных в СИБ ФНС России функций, должны быть реализованы следующие мероприятия:

регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

- дата и время запуска, имя (идентификатор) программы (процесса, задания);

- идентификатор субъекта доступа, запросившего программу (процесс, задание);

- результат запуска (успешный, неуспешный - несанкционированный);

регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

- дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная - несанкционированная);

- идентификатор субъекта доступа;

- спецификация защищаемого файла;

очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);

учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

учет защищаемых носителей в журнале (картотеке) с регистрацией их выдачи (приема);

автоматический анализ данных регистрации по шаблонам типовых проявлений программно-математического воздействия (далее - ПМВ) с автоматическим их блокированием и уведомлением администратора безопасности.

12.4. В подсистеме обеспечения целостности, с учётом уже реализованных в СИБ ФНС России функций, должны быть реализованы следующие мероприятия:

обеспечение целостности программных средств защиты информации в составе СЗПДн, а также неизменности программной среды. При этом целостность средств защиты проверяется при загрузке системы по контрольным суммам компонент средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

периодическое тестирование функций СЗПДн при изменении программной среды и персонала ИСПДн с помощью тест-программ, имитирующих попытки НСД;

наличие средств восстановления СЗПДн, предусматривающих ведение двух копий программных средств защиты информации, их периодическое обновление и контроль работоспособности;

резервное копирование ПДн на отчуждаемые носители информации;

проверка целостности модулей средства защиты от ПМВ, необходимых для его корректного функционирования, при его загрузке с использованием контрольных сумм;

обеспечение возможности восстановления средств защиты от ПМВ, предусматривающее ведение двух копий программных средств защиты, их периодическое обновление и контроль работоспособности;

12.5. В подсистеме обнаружения вторжений, с учётом уже реализованных в СИБ ФНС России функций, должны быть реализованы следующие мероприятия:

выявление и блокирование сетевых атак на узлы сети;

выявление и блокирование аномальной сетевой активности.

Обнаружение вторжений должно обеспечиваться путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) обнаружения вторжений (СОВ).

12.6. Для программного обеспечения, используемого при защите информации в ИСПДн (средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное программное обеспечение), должен быть обеспечен соответствующий уровень контроля отсутствия в нем недекларированных возможностей (НДВ).

Анализ защищенности должен проводиться путем использования в составе ИСПДн программных или программно-аппаратных средств (систем) анализа защищенности (далее - САЗ).

Для САЗ ИСПДн должна быть обеспечена возможность выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

В ИСПДн 2 класса для обработки информации рекомендуется использовать средства вычислительной техники (СВТ), удовлетворяющие требованиям стандартов Российской Федерации по электромагнитной совместимости, по безопасности и эргономическим требованиям к средствам отображения информации, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (например: ГОСТ 29216-91, ГОСТ Р 50948-96, ГОСТ Р 50949-96, ГОСТ Р 50923-96, СанПиН 2.2.2.542-96).

Нумерация разделов приводится в соответствии с источником

14. Требования к видам обеспечения

14.1. В СЗПДн должно использоваться лицензионное программное обеспечение. Используемое программное обеспечение должно иметь сертификат, подтверждающий возможность использования этого программного обеспечения в той операционной среде, где оно применяется.

14.2. В СЗПДн должны использоваться сертифицированные по требованиям безопасности информации технические средства защиты информации.

Установка программного обеспечения СЗПДн на серверах и рабочих станциях не должна требовать их замены или модернизации при выполнении ими требований, предъявляемых технической документацией к аппаратному обеспечению.

14.3. Администрирование и эксплуатация СЗПДн должно вестись согласно инструкциям администраторов, инструкции пользователя, инструкции по установке программного обеспечения подсистем и других локальных нормативных актов.

14.4. Отчетная документация должна быть оформлена в соответствии с требованиями ГОСТ 2.105-95.

Проектная документация должна быть разработана в соответствии с требованиями ГОСТ 34.201-89.

Организационно-распорядительная документация должна быть разработана в соответствии с ГОСТ Р 6.30-97 и требованиями ФНС России к подобного рода документации.

Приказ Федеральной налоговой службы от 21 декабря 2011 г. N ММВ-7-4/959@ "Об обеспечении безопасности персональных данных при их обработке в автоматизированных информационных системах налоговых органов"

Текст приказа официально опубликован не был

Обзор документа

Утверждены Модель угроз и нарушителя безопасности персональных данных (ПД) при их обработке в информсистеме ПД типового объекта информатизации ФНС России и Модель нарушителя безопасности информации для каналов обмена данными между типовыми объектами АИС "НАЛОГ".

Модели содержат рекомендации для территориальных налоговых органов по организации защиты ПД. Они вводятся в действие с даты подписания приказа.

Кроме того, утверждены Модель угроз и нарушителя безопасности ПД при их обработке в информсистеме ПД центрального аппарата ФНС России, а также Техтребования на систему защиты ПД в составе информсистем ПД последнего.

Управлениям ФНС России по регионам, межрегиональным инспекциям Службы, ее инспекциям межрайонного уровня и по районам, районам в городах, городам без районного деления поручено проанализировать состояние работы по защите ПД.

Обеспечение безопасности ПД достигается, в частности, определением угроз безопасности ПД при их обработке в соответствующих информсистемах.

Перечисленным органам поручено до 1 марта 2012 г. привести свою работу в соответствие с данным требованием законодательства.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перепечатка