Утвержден приказом Агентства 

от 19 декабря 2022 года № 13-П

Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики

ТИПОВОЙ ПЕРЕЧЕНЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ  

1. Общие положения

1. Настоящий «Типовой перечень угроз безопасности персональных данных при обработке персональных данных в информационных системах» (далее – Типовой перечень) разработан в соответствии с Законами Кыргызской Республики «Об информации персонального характера», «Об электронном управлении», «Об электронной подписи», Постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760, Постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 762 и Постановлением Кабинета Министров Кыргызской Республики «О Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики» от 22 декабря 2021 года № 325.

2. Типовой перечень содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах. Эти угрозы обусловлены преднамеренными или непреднамеренными действиями физических и юридических лиц, а также действиями преступных организаций, создающих условия (предпосылки) для нарушения безопасности персональных данных, которые ведут к ущербу важных интересов личности, общества и государства. В настоящем Типовом перечне под “информационными системами персональных данных” понимаются информационные системы, в которых хранятся или обрабатываются персональные данные, и далее по тексту используется словосочетание “информационные системы”.

3. Учитывая особенности обработки персональных данных в Кыргызской Республике в государственных органах, органах местного самоуправления, в частных и государственных организациях и учреждениях, а также категорию и объем обрабатываемых в информационных системах, основными характеристиками безопасности являются конфиденциальность, целостность и доступность.

4. Типовой перечень содержит единые исходные данные по угрозам безопасности персональных данных, обрабатываемых в информационных системах, связанные с:

• перехватом (съемом) персональных данных по техническим каналам с целью их копирования или неправомерного использования, или распространения;

• несанкционированным, в том числе случайным, доступом в информационную систему с целью сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения, а также неправомерного использования или распространения персональных данных или деструктивных воздействий на элементы информационной системы и обрабатываемых в них персональных данных с использованием программных и программно-аппаратных средств с целью уничтожения или блокирования персональных данных.

5. К основным типам источников угроз безопасности информации относятся: 

• антропогенные источники (антропогенные угрозы); 

• техногенные источники (техногенные угрозы); 

• стихийные источники (угрозы стихийных бедствий и иных природных явлений). 

6. Основными видами угроз безопасности персональных данных в информационных системах являются:

• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к информационным ресурсам информационной системы, включая ее пользователей, в том числе с использованием внутренних сетей связи;

• угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к информационным системам, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена;

• угрозы, возникновение которых напрямую зависит от свойств техники и программного обеспечения, используемого в информационных системах;

• угрозы, возникающие в результате внедрения аппаратных закладок и вредоносных программ;

• угрозы, направленные на нарушение нормальной работы технических средств и средств связи, используемых в информационных системах;

• угрозы, связанные с недостаточной квалификацией персонала, обслуживающего информационные системы.

7. Настоящий Типовой перечень применяется совместно с Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденными постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760, Методикой определения угроз безопасности в информационных системах персональных данных, утверждаемой уполномоченным государственным органом по персональным данным. Также использоваться актуальные базы угроз, формируемые международными ведущими организациями в области кибербезопасности.

8. Типовой перечень является методическим документом и предназначен для государственных и муниципальных органов, юридических и (или) физических лиц (далее – держатели или обладатели персональных данных), организующих и (или) осуществляющих обработку персональных данных, а также определяющих цели и содержание обработки персональных данных, заказчиков и разработчиков информационной системы и ее подсистем. С применением настоящего Типового перечня решаются следующие задачи:

• разработка отраслевых перечней угроз безопасности персональных данных в конкретных информационных системах с учетом их назначения, условий и особенностей функционирования;

• анализ защищенности информационной системы от угроз безопасности персональных данных в ходе организации и выполнения работ по обеспечению безопасности персональных данных;

• разработка системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационной системы;

• проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

• недопущение воздействия на технические средства информационной системы, в результате которого может быть нарушено их функционирование;

• контроль обеспечения уровня защищенности персональных данных.

9. В Типовом перечне дано обобщенное описание информационной системы как объекта защиты, возможных источников угрозы безопасности персональных данных, основных классов уязвимостей информационной системы, возможных видов деструктивных воздействий на персональные данные, а также основных способов их реализации. Угрозы безопасности персональных данных, обрабатываемых в информационных системах, содержащиеся в настоящем Типовом перечне, могут уточняться и дополняться по мере выявления новых источников угроз, развития способов и средств реализации угроз безопасности персональных данных в информационных системах. Внесение изменений в Типовой перечень осуществляется Уполномоченным государственным органом по защите персональных данных Кыргызской Республики.

10. Для целей настоящего Типового перечня используются и применяются следующие основные термины и определения:

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Атака – попытка уничтожения, раскрытия, внесения изменений, вывода из строя, хищения или получения несанкционированного доступа к активу.

Актив – некоторая сущность, ценная для личности, организации или государства.

Бот, робот – компьютерная программа, используемая для автоматизированного выполнения особых функций и решения специфических задач. Термин часто используется для программ, которые автоматизируют задачи, обычно исполняемые на сервере, например, для отправки или сортировки электронной почты. Бот может представлять собой программу, которая выступает агентом пользователя или другой программы, либо же симулирует деятельность пользователя. 

Ботнет – дистанционно управляемые компьютерные программы, представляющие собой, как правило, набор вредоносных ботов, которые находятся на зараженных компьютерах сети и запускаются в работу автономно или автоматизировано.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах.

Блокирование персональных данных – временное прекращение передачи, уточнения, использования и уничтожения персональных данных. 

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы с целью компрометации финансовых данных, медицинских записей, электронных писем, паролей и т.д..

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы.

Держатель (обладатель) массива персональных данных – органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с законодательством Кыргызской Республики. 

Доступ в операционную среду компьютера (информационной системы) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации –возможность получения информации и ее использования.

Закладочное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый,вносимый или подключаемый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. 

Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация персонального характера (персональные данные) - зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

Информативный сигнал – электрические и оптические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных – совокупность, содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации.

Источник угрозы безопасности информации – субъект доступа, материальный и не материальный объект или физическое явление, являющееся причиной возникновения угрозы безопасности информации.

Контролируемая зона – это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей обработчика и посторонних транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения обработчиком или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – это программный (защитное решение) или аппаратный (физическое оборудование) элемент компьютерной сети, осуществляющий контроль и фильтрацию проходящего через него сетевого трафика в соответствии с заданными правилами.

Нарушитель безопасности персональных данных – физическое / юридическое лицо или преступная организация, случайно или преднамеренно совершающие действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Нежелательный контент – это не только вредоносный код, потенциально опасные программы и спам (т.е. то, что непосредственно создано для уничтожения или кражи информации), но и сайты, запрещенные законодательством, а также нежелательные ресурсы с информацией, не соответствующей возрасту потребителя. 

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Обработчик – физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы – лицо, участвующее в функционировании информационной системы или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

Прикладное программное обеспечение – программное обеспечение, используемое конечными пользователями для решения своих конкретных, прикладных задач, и не выполняющее функций программного обеспечения, которое сам компьютер использует для служебных, технологических целей без участия конечного пользователя

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Среда распространения информативного сигнала – это физическая среда, по которой информативный сигнал может распространяться и приниматься (регистрироваться) приемником. Среда распространения, может быть, как однородной (например, только воздушной), так и неоднородной за счет перехода сигнала из одной среды в другую (например, в результате акустоэлектрических или виброакустических преобразований)

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Технические средства информационной системы – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – дефект программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использована для реализации угроз безопасности информации.

Фарминг – возможность неправомерного ознакомления нарушителем с защищаемой информацией (в т.ч. идентификации/аутентификации) пользователя путём скрытого перенаправления пользователя на поддельный сайт (выглядящий одинаково с оригинальным), на котором от дискредитируемого пользователя требуется ввести защищаемую информацию. 

Фишинг – возможность неправомерного ознакомления нарушителем с защищаемой информацией (в т.ч. идентификации/аутентификации) пользователя путем убеждения его с помощью методов социальной инженерии (в т.ч. посылкой целевых писем (т.н. spear-phishing attack), с помощью звонков с вопросом об открытии вложения письма, имитацией рекламных предложений (fake offers) или различных приложений (fake apps)) зайти на поддельный сайт (похожий на оригинальный), на котором от дискредитируемого пользователя требуется ввести защищаемую информацию или открыть зараженное вложение в письме.

Киберсталкинг – систематическое преследование человека, группы лиц или компании, их запугивание и/или домогательство с использованием интернета и других электронных средств коммуникации.

Хакер - лицо, совершающее различные незаконные действия в сфере информационных технологий: несанкционированное проникновение в чужие компьютерные сети и получение из них информации, незаконные снятие защиты с программных продуктов и их копирование, создание и распространения компьютерных вирусов и т. п. 

Целостность информации – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только управомоченными субъектами.

2. Классификация угроз безопасности персональных данных

11. Состав и содержание угрозы безопасности персональных данных определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным. Совокупность таких условий и факторов формируется с учетом характеристик информационной системы, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.

12. К характеристикам информационной системы, обусловливающим возникновение угроз безопасности персональных данных, можно отнести категорию и объем обрабатываемых в информационных системах, актуальности угроз, возможности нанесения ущерба, продолжительности обработки персональных данных, структуру информационных систем, наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена, характеристики подсистемы безопасности персональных данных, обрабатываемых в информационных системах, режимы обработки персональных данных, режимы разграничения прав доступа пользователей информационной системы, местонахождение и условия размещения технических средств информационных систем.

13. Основными элементами информационной системы являются:

1. персональные данные, содержащиеся в базах данных, как совокупность информации и ее носителей, используемых в информационной системе;

2. информационные технологии, применяемые при обработке персональных данных;

3. технические средства, осуществляющие обработку персональных данных (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных, средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации);

4. программные средства (операционные системы, системы управления базами данных и т.п.);

5. средства защиты информации;

6. вспомогательные технические средства и системы – технические средства и системы, их коммуникации, не предназначенные для обработки персональных данных, но размещенные в помещениях (далее – служебные помещения), в которых расположены информационные системы, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, средства и системы оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электронной оргтехники, средства и системы электрочасофикации).

14. Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются персональные данные, и определяются при оценке возможности реализации угроз безопасности персональных данных.

15. Возможности источников угроз безопасности персональных данных обусловлены совокупностью способов несанкционированного и (или) случайного доступа к персональным данным, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) персональных данных.

16. Угроза безопасности персональных данных реализуется в результате образования канала реализации угроз безопасности персональных данных между источником угрозы и носителем (источником) персональных данных, что создает условия для нарушения безопасности персональных данных (несанкционированный или случайный доступ).

3. Основные элементы канала реализации угроз безопасности персональных данных 

17. Основными элементами канала реализации угроз безопасности персональных данных (рис. 1) являются:

Рис. 1. Обобщенная схема канала реализации угроз безопасности персональных данных 

3.1. Источник угроз безопасности персональных данных 

18. Все источники угроз безопасности информации можно разделить на три основные группы:

• обусловленные действиями субъекта (антропогенные);

• обусловленные техническими средствами (техногенные);

• обусловленные стихийными источниками (стихийные).

19.  Источники угроз могут находиться как внутри защищаемой организации – внутренние источники, так и вне ее – внешние источники.

3.1.1. Антропогенные источники угроз

20. Личность (субъектов может быть несколько), которая имеет возможность совершать операции с конфиденциальной информацией. Доступ может быть как санкционированным, так и несанкционированным. Другими словами, нарушение режима конфиденциальности может быть вызвано как спланированными операциями злоумышленников, так и неопытностью сотрудников. Пользователь должен иметь базовые  компетенции в области информационной безопасности, вредоносном программном обеспечении, чтобы своими действиями не нанести ущерб организации и самому себе. Такие инциденты, как потеря или утечка информации, могут также быть обусловлены целенаправленными действиями сотрудников организации, которые заинтересованы в получении прибыли в обмен на данные юрлица, в которой они работают или работали. 

21. Основными источниками угроз являются отдельные злоумышленники («хакеры»), группы киберпреступников и иностранные спецслужбы (киберподразделения), которые применяют весь арсенал доступных кибер средств. Чтобы преодолеть информационную, техническую и физическую защиту и получить доступ к нужной информации, они используют слабые места и ошибки в работе программного обеспечения и веб-приложений, изъяны в конфигурациях средств защиты информации и настройках прав доступа, прибегают к взлому каналов связи и использованию клавиатурных шпионов (закладок).

22. Группы источников угроз персональных данных:

• внутренние – штатные сотрудники, в частности, работники отделов в области информационных технологий, кадровой службы, техперсонал или представители службы безопасности организации. В процессе своей деятельности они могут подвергать средства защиты персональных данных опасности из-за некомпетентности и ошибочных действий, применения неучтенного программного обеспечения, изменения и уничтожения компонентов программ, предоставления доступа неуполномоченным лицам или игнорирования правил хранения персональных данных. Причиной утечки может стать также самовольное изменение параметров системы защиты и сокрытие фактов потери информации, находящейся в ограниченном доступе (паролей, ключей и т.д.).

• внешние – поставщики услуг, работники контролирующих государственных органов и аварийных служб, а также хакеры, представители конкурирующих организаций. Их действия могут быть преднамеренными, то есть направленными на получение сведений, или не специальными, например, если утечка происходит в результате технического сбоя или составления проекта информационной системы с нарушением требований информационной безопасности .

3.1.2. Техногенные источники угроз

23. Эти источники обусловлены применяемыми техническими средствами и бывают двух разновидностей:

• внутренние – это аппаратные закладки, вирусы и прочие вредоносные программы, системы охраны и сигнализации, нелицензионное программное обеспечение и оборудование, задействованное в процессе обработки персональных данных;

• внешние – составляющие инфраструктурного назначения, например, линии телефонной и интернет-связи, системы отопления, канализации, водоснабжения, газоснабжения.

3.1.3. Стихийные источники угроз

24. Наиболее сложно прогнозируемые ввиду огромного разнообразия, причин возникновения и способов проявления. Преимущественно это те факторы, на которые оператор никаким образом не способен повлиять:

• наводнения и сели; 

• пожары;

• ураганы;

• гроза, град, снегопад;

• оползни;

• землетрясения;

• военные и политические конфликты;

• акты гражданского неповиновения;

• магнитные бури;

• различные непредвиденные обстоятельства;

• другие форс-мажорные обстоятельства.

3.2. Среда распространения

25. Угрозы безопасности могут быть реализованы тремя путями:

• через технические каналы утечки;

• путем непосредственного доступа;

• шантажа, подкупа, запугивания и жажды личной наживы персонала.

3.3. Носители информации

26. Носители персональных данных могут содержать информацию, представленную в следующих видах:

1. акустическая (речевая) информация, содержащаяся непосредственно в произносимой речи пользователя информационной системы при осуществлении им функции голосового ввода персональных данных в информационную систему, либо воспроизводимая акустическими средствами информационной системы (если такие функции предусмотрены технологией обработки персональных данных), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;

2. Визуальная информация, представленная в виде текста, видео и изображений различных устройств отображения информации;

3. информация, обрабатываемая (циркулирующая) в информационных системах, в виде электрических, электромагнитных, оптических сигналов;

4. информация, обрабатываемая в информационных системах, представленная в виде бит, байт, файлов и других логических структур.

4. Классификация угроз

27. В целях формирования перечня угроз безопасности персональных данных при их обработке в информационных системах и разработке на их основе отраслевых перечней применительно к конкретному виду информационной системы угрозы классифицируются в соответствии со следующими признаками:

1. по цели реализации угрозы;

2. по виду защищаемой от угроз безопасности персональных данных информации, содержащей персональные данные;

3. по видам возможных источников угроз безопасности персональных данных;

4. по типу информационной системы, на которую направлена реализация угроз безопасности персональных данных;

5. по способу реализации угроз безопасности персональных данных;

6. по виду нарушаемого свойства информации ( несанкционированных действиях, осуществляемых с персональными данными);

7. по используемой уязвимости;

8. по объекту воздействия.

28. Рассмотрение каждой классификации угроз по признакам:

1. По цели реализации угрозы. Реализация той или иной угрозы безопасности может преследовать следующие цели:

• нарушение конфиденциальной информации;

• нарушение целостности информации;

• нарушение (частичное или полное) работоспособности

2. По виду информации, защищаемой от угроз безопасности персональных данных, угрозы делятся на (рис. 2):

Рис. 2. Виды информации, защищаемой от угроз безопасности персональных данных 

3. Виды возможных источников угроз безопасности персональных данных. По видам возможных источников угроз безопасности персональных данных выделяются следующие классы угроз (рис. 3):

• угрозы, создаваемые нарушителем;

• аппаратные закладки;

• вредоносные программы.

По наличию права постоянного или разового доступа в контролируемую зону информационной системы нарушители подразделяются на два типа:

• внутренний нарушитель – реализующий угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к информационной системе, включая пользователей информационных систем, реализующих угрозы непосредственно в информационной системе;

• внешний нарушитель – реализующий угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к информационной системе, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена.

Виды и угрозы нарушителя можно найти в Приложении 1.

Рис. 3. Виды возможных источников угроз безопасности персональных данных

4. Типы информационной системы, на которые направлена реализация угроз безопасности персональных данных. 

По типу информационной системы выделяются следующие классы угроз (рис. 4):

• угрозы безопасности персональных данных, обрабатываемых в информационных системах на базе автономного автоматизированного рабочего места;

• угрозы безопасности персональных данных, обрабатываемых в информационных системах на базе автоматизированного рабочего места, подключенного к сети общего пользования (к сети международного информационного обмена);

• угрозы безопасности персональных данных, обрабатываемых в информационных систем на базе локальных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);

• угрозы безопасности персональных данных, обрабатываемых в информационных системах на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена);

• угрозы безопасности персональных данных, обрабатываемых в информационных систем на базе распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);

• угрозы безопасности персональных данных, обрабатываемых в информационных системах на базе распределенных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена).

Рис. 4. Угрозы безопасности персональных данных, обрабатываемых в информационных системах 

5. Способы реализации угроз безопасности персональных данных;

По способам реализации выделяются следующие классы угроз:

• угрозы, связанные с доступом к персональным данным (в том числе угрозы внедрения вредоносных программ) (рис. 5);

• угрозы утечки по техническим каналам утечки информации (рис. 6);

• угрозы специальных воздействий на информационные системы (рис. 7);

Рис. 5. Угрозы, связанные с несанкционированным доступом к персональным данным

Рис. 6. Угрозы утечки по техническим каналам утечки информации

Рис. 7. Угрозы специальных воздействий на информационные системы

6. По возможностям реализации атак угрозы делятся: 

• на угрозы, реализуемые в информационных системах при их подключении к сетям связи общего пользования;

• на угрозы, реализуемые в информационных системах при их подключении к сетям международного информационного обмена; 

• на угрозы, реализуемые в информационных системах, не имеющих подключений к сетям связи общего пользования и сетям международного информационного обмена. 

7. По видам нарушаемого свойства информации (видам несанкционированных действий, осуществляемых с персональными данными) выделяются следующие классы угроз (рис. 8):

• угрозы, приводящие к нарушению конфиденциальности персональных данных (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;

• угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение персональных данных или их уничтожение;

• угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы информационной системы, в результате которого осуществляется блокирование персональных данных.

Рис. 8. Угрозы по видам нарушаемого свойства информации

8. По используемой уязвимости выделяются следующие классы угроз (рис. 9):

• угрозы, реализуемые с использованием уязвимости системного программного обеспечения;

• угрозы, реализуемые с использованием уязвимости прикладного программного обеспечения; 

• угрозы, возникающие в результате использования уязвимости, вызванной наличием в автоматизированных систем программной закладки;

• угрозы, реализуемые с использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;

• угрозы, возникающие в результате использования уязвимости, вызванной недостатками организации технической защиты информации от несанкционированного доступа;

• угрозы, реализуемые с использованием уязвимостей, обусловливающих наличие технических каналов утечки информации;

• угрозы, реализуемые с использованием уязвимостей средств защиты информации.

Рис. 9. Угрозы по используемой уязвимости

9. По объекту воздействия выделяются следующие классы угроз:

• угрозы безопасности персональных данных, обрабатываемых на автоматизированных рабочих местах (рис. 10);

• угрозы безопасности персональных данных, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах, графопостроителях, вынесенных мониторах, видеопроекторах, средствах звуковоспроизведения и т.п.) (рис. 11);

• угрозы безопасности персональных данных, передаваемых по сетям связи (рис. 12);

• угрозы прикладным программам, с помощью которых обрабатываются персональные данные;

• угрозы системному программному обеспечению, обеспечивающему функционирование информационной системы.

Рис. 10. Угрозы безопасности персональных данных,

обрабатываемых на автоматизированных рабочих местах

Рис. 11. Угрозы безопасности персональных данных, обрабатываемых в выделенных технических средствах обработки

Рис. 12. Угрозы безопасности персональных данных, передаваемых по сетям связи

29. Реализация одной из угроз безопасности персональных данных перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов персональных данных:

• значительным негативным последствиям для субъектов персональных данных;

• негативным последствиям для субъектов персональных данных;

• незначительным негативным последствиям для субъектов персональных данных.

30. Основные группы угроз. В зависимости от различных способов классификации все возможные угрозы информационных систем можно разделить на следующие основные подгруппы. 

• нежелательный контент;

• несанкционированный доступ;

• утечки информации;

• потеря данных;

• мошенничество;

• кибервойны.

5. Угрозы утечки информации по техническим каналам

31. Основными элементами описания угроз утечки информации по техническим каналам являются: источник угрозы, среда (путь) распространения информативного сигнала и носитель защищаемой информации.

32. Источниками угроз утечки информации по техническим каналам являются физические лица, а также организации (в том числе, конкурирующие или террористические), криминальные группировки, осуществляющие перехват (съем) информации с использованием технических средств ее регистрации, приема или фотографирования.

33. При обработке персональных данных в информационных системах за счет реализации технических каналов утечки информации возможно возникновение следующих угроз безопасности персональных данных:

• угроз утечки акустической (речевой) информации; 

• угроз утечки визуальной информации;

• угроз утечки информации по каналам побочных электромагнитных излучений и наводок.

5.1 Угрозы утечки акустической (речевой) информации

34. Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя информационной системы, при обработке персональных данных в информационных системах, обусловлено наличием функций голосового ввода персональных данных в информационных системах или функций воспроизведения персональных данных акустическими средствами информационной системы.

35. Перехват акустической (речевой) информации в данных случаях возможен с использованием аппаратуры, регистрирующей акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки персональных данных, вспомогательных технических средствах и системах, и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн.

36. Кроме этого, перехват акустической (речевой) информации возможен с использованием специальных электронных устройств съема речевой информации, внедренных в технические средства обработки персональных данных, вспомогательных технических средствах и системах и помещения или подключенных к каналам связи.

37. Перехват акустической (речевой) информации может вестись:

• стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц;

• портативной носимой аппаратурой, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями;

• портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них;

• автономной автоматической аппаратурой, скрытно устанавливаемой физическими лицами непосредственно в служебных помещениях или в непосредственной близости от них.

5.2 Угрозы утечки визуальной информации

38. Угрозы утечки визуальной информации реализуются за счет просмотра персональных данных с помощью оптических (оптико-электронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав информационной системы.

39. Просмотр (регистрация) персональных данных также возможен с использованием специальных электронных устройств съема, внедренных в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.

40. Необходимым условием осуществления просмотра (регистрации) персональных данных является наличие визуального контакта между средством наблюдения и держателем / обработчиком персональных данных.

41. Перехват персональных данных может вестись:

• стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц;

• портативной носимой аппаратурой, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями;

• портативной носимой аппаратурой – физическими лицами при их неконтролируемом пребывании в служебных помещениях или в непосредственной близости от них.

42. Перехват (просмотр) персональных данных может осуществляться посторонними лицами путем их непосредственного наблюдения в служебных помещениях либо с расстояния прямой видимости из-за пределов информационной системы с использованием оптических (оптико электронных) средств.

5.3 Угрозы утечки информации по каналам побочных электромагнитных излучений и наводок

43. Возникновение угрозы персональных данных по каналам побочных электромагнитных излучений и наводок возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов информационной системы) информативных электромагнитных полей и электрических сигналов, возникающих при обработке персональных данных техническими средствами информационной системы.

44. Генерация информации, содержащей персональные данные и циркулирующей в технических средствах информационной системы в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств информационной системы сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров информационной системы.

45. Регистрация побочных электромагнитных излучений и наводок осуществляется с целью перехвата информации, циркулирующей в технических средствах, обрабатывающих персональные данные(в средствах вычислительной техники, информационно-вычислительных комплексах и сетях, средствах и системах передачи, приема и обработки персональных данных, в том числе в средствах и системах звукозаписи, звукоусиления, звуковоспроизведения, переговорных и телевизионных устройствах, средствах изготовления, тиражирования документов и других технических средствах обработки речевой, графической, видео- и буквенно-цифровой информации).

46. Для регистрации побочных электромагнитных излучений и наводок используется аппаратура в составе радиоприемных устройств и оконечных устройств восстановления информации.

47. Кроме этого, перехват побочных электромагнитных излучений и наводок возможен с использованием электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки персональных данных.

48. Регистрация побочных электромагнитных излучений и наводок может вестись с использованием аппаратуры следующих видов:

• стационарной аппаратурой, размещаемой в близлежащих строениях (зданиях) с неконтролируемым пребыванием посторонних лиц;

• портативной возимой аппаратуры, размещаемой в транспортных средствах, осуществляющих движение вблизи служебных помещений или при их парковке рядом с этими помещениями;

• портативной носимой аппаратурой – физическими лицами в непосредственной близости от информационной системы;

• автономной автоматической аппаратурой, скрытно устанавливаемой физическими лицами в непосредственной близости от информационной системы.

49. Каналы утечки информации, обусловленные наводками, образуются за счет соединительных линий технических средств информационных систем и вспомогательные технические средства и системы и посторонних проводников (в том числе цепей электропитания и заземления).

50. Наводки электромагнитных излучений технических средств информационной системы возникают при излучении элементами технических средств информационной системы информативных сигналов при наличии емкостной, индуктивной или гальванической связей соединительных линий технических средств информационной системы, линий вспомогательных технических средств и систем и посторонних проводников. В результате на случайных антеннах (цепях вспомогательных технических средств и систем или посторонних проводниках) наводится информативный сигнал.

51. Прохождение информативных сигналов в цепи электропитания возможно при наличии емкостной, индуктивной или гальванической связи источника информативных сигналов в составе технических средств информационных систем и цепей питания.

52. Прохождение информативных сигналов в цепи заземления обусловлено наличием емкостной, индуктивной или гальванической связи источника информативных сигналов в составе аппаратуры технических средств приема, обработки, хранения и передачи информации и цепей заземления.

53. Для съема информации с проводных линий могут использоваться:

• средства съема сигналов, содержащих защищаемую информацию, с цепей технических средств информационных систем и вспомогательных технических средств и систем, линий связи и передачи данных, выходящих за пределы служебных помещений (эквиваленты сети, токовые трансформаторы, пробники);

• средства съема наведенных информативных сигналов с цепей электропитания;

• средства съема наведенных информативных сигналов с шин заземления;

• средства съема наведенных информативных сигналов с проводящих инженерных коммуникаций.

54. Для волоконно-оптической системы передачи данных угрозой утечки информации является утечка оптического излучения, содержащего защищаемую информацию, с боковой поверхности оптического волокна.

55. В каналах сотовой связи, спутниковых и беспроводных сетей передачи данных характерно применение специализированных систем и средств контроля и перехвата информации, ориентированных на используемые в них информационные технологии, в том числе средств:

• перехвата сообщений и сотовой связи;

• перехвата информации в каналах передачи данных вычислительных сетей.

6. Угрозы несанкционированного доступа к информации в информационной системе

56. Угрозы несанкционированного доступа (НСД) в информационную систему с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного, доступа, в результате которого осуществляется нарушение конфиденциальности (копирование, несанкционированное распространение), целостности (уничтожение, изменение) и доступности (блокирование) персональных данных, и включают в себя:

• угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения);

• угрозы создания нештатных режимов работы программных (программно- аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.;

• угрозы внедрения вредоносных программ (программно-математического воздействия).

57. Кроме этого, возможны комбинированные угрозы, представляющие собой сочетание указанных угроз. Например, за счет внедрения вредоносных программ могут создаваться условия для несанкционированного доступа в операционную среду компьютера, в том числе путем формирования нетрадиционных информационных каналов доступа.

58. Угрозы доступа (проникновения) в операционную среду информационной системы с использованием штатного программного обеспечения разделяются на угрозы непосредственного и удаленного доступа. Угрозы непосредственного доступа осуществляются с использованием программных и программно-аппаратных средств ввода/вывода компьютера. Угрозы удаленного доступа реализуются с использованием протоколов сетевого взаимодействия.

59. Эти угрозы реализуются относительно информационной системы как на базе автоматизированного рабочего места, не включенного в сети связи общего пользования, так и применительно ко всем информационным системам, имеющим подключение к сетям связи общего пользования и сетям международного информационного обмена.

60. Описание угроз доступа (проникновения) в операционную среду компьютера формально может быть представлено следующим образом:

угроза НСД в информационной системе: = <источник угрозы>, <уязвимость в информационной системе>, <способ реализации угрозы>, <объект воздействия (программа, протокол, данные и др.)>, <деструктивное действие или несанкционированный доступ>.

61. Угрозы создания нештатных режимов работы программных (программно- аппаратных) средств – это угрозы «Отказа в обслуживании». Как правило, данные угрозы рассматриваются применительно к информационной системе на базе локальных и распределенных информационных систем вне зависимости от подключения информационного обмена. Их реализация обусловлена тем, что при разработке системного или прикладного программного обеспечения не учитывается возможность преднамеренных действий по целенаправленному изменению:

• содержания служебной информации в пакетах сообщений, передаваемых по сети;

• условий обработки данных (например, игнорирование ограничений на длину пакета сообщения);

• форматов представления данных (с несоответствием измененных форматов, установленных для обработки по протоколам сетевого взаимодействия);

• программного обеспечения обработки данных.

62. В результате реализации угроз «Отказа в обслуживании» могут возникнуть следующие  последствия: 

• переполнение буферов;

• блокирование процедур обработки;

• «зацикливание» процедур обработки;

• «зависание» компьютера;

• отбрасывание пакетов сообщений и др.

Описание таких угроз формально может быть представлено следующим образом:

угроза    «Отказа     в     обслуживании»:    =     <источник угрозы>, <уязвимость в информационной системе>, <способ реализации угрозы>, <объект воздействия >, <непосредственный результат реализации угрозы (переполнение буфера, блокирование процедуры обработки, «зацикливание» обработки и т.п.)>.

63. Угрозы внедрения вредоносных программ нецелесообразно описывать с той же детальностью, что и вышеуказанные угрозы. Это обусловлено тем, что, во-первых, количество вредоносных программ сегодня уже значительно превышает сто тысяч. Во-вторых, при организации защиты информации на практике, как правило, достаточно лишь знать класс вредоносной программы, способы и последствия от ее внедрения. В связи с этим угрозы программно-математического воздействия формально могут быть представлены следующим образом:

Угроза воздействия вредоносных программ в информационной системе: = <класс вредоносной программы (с указанием среды обитания: файловые, загрузочные и сетевые)>, <источник угрозы (носитель вредоносной программы)>, <способ инфицирования>, <объект воздействия (загрузочный сектор, файл и т.п.)>, <описание возможных деструктивных действий>,<дополнительная информация об угрозе (резидентность, скорость распространения, полиморфичность и др.)>.

7. Классификация уязвимостей программных систем

64. В настоящее время можно встретить ряд как простых, так и сложных иерархических классификаций (таксономий) в области программной безопасности, которые можно разделить на следующие:

• классификации угроз и атак;

• классификации вредоносных программ;

• классификации и реестры уязвимостей;

• классификации дефектов.

7.1 Классификация угроз и атак

65. Данные классификации систематизируют различные виды искусственных и естественных, случайных или злонамеренных, внутренних и внешних угроз по различным параметрам. Классификации выделяют класс угроз, связанный с возможностью реализации нарушителем программных уязвимостей. При всем этом данные классификации являются основой для построения моделей угроз безопасности информации

7.2 Классификация вредоносных программ

66. Вредоносные программы можно разбить на группы, для определения вида программы, и запуска алгоритмов борьбы с установленным видом вредоносной программы. Классы вредоносных программ указаны на рис. 13. В Таблице 1 дается название, определение и реализация вредоносных программ. 

Рисунок 13. Классы вредоносных программ

Таблица 1. Определение и реализация вредоносных программ

7.2.1 Как распространяется вредоносное программное обеспечение?

67. Существует шесть распространенных способов распространения вредоносных программ:

1. Уязвимости: дефект безопасности в программном обеспечении позволяет вредоносным программам использовать его для получения несанкционированного доступа к компьютеру, оборудованию или сети.

2. Бэкдоры: преднамеренные или непреднамеренные бреши в программном обеспечении, оборудовании, сетях или системе безопасности.

3. Попутные загрузки: непреднамеренная загрузка программного обеспечения с ведома или без ведома конечного пользователя.

4. Однородность: если все системы работают под управлением одной и той же операционной системы и подключены к одной и той же сети, повышается риск успешного распространения червя на другие компьютеры.

5. Повышение привилегий: ситуация, когда злоумышленник получает расширенный доступ к компьютеру или сети, а затем использует его для организации атаки.

6. Смешанные угрозы: пакеты вредоносных программ, которые сочетают в себе характеристики нескольких типов вредоносных программ, что затрудняет их обнаружение и остановку, поскольку они могут использовать различные уязвимости.

7.2.2 Распространенные формы атак вредоносных программ

Таблица 2. Распространенные формы атаки

7.3 Классификации и реестры уязвимостей

68. Появление потенциальных угроз безопасности связано с наличием уязвимостей в информационной системе. 

69. Причинами возникновения уязвимостей в общем случае являются:

• ошибки при разработке программного обеспечения;

• преднамеренные изменения программного обеспечения с целью внесения уязвимостей;

• неправильные настройки программного обеспечения;

• несанкционированное внедрение вредоносных программ;

• неумышленные действия пользователей;

• сбои в работе программного и аппаратного обеспечения.

70. Уязвимости, как и угрозы, можно классифицировать по различным признакам:

• по типу программного обеспечения – системное или прикладное.

• по этапу жизненного цикла программного обеспечения, на котором возникла уязвимость – проектирование, эксплуатация и пр.

• по причине возникновения уязвимости, например, недостатки механизмов аутентификации сетевых протоколов.

• по характеру последствий от реализации атак – изменение прав доступа, подбор пароля, вывод из строя системы в целом и пр.

71. Наиболее часто используемые уязвимости относятся к протоколам сетевого взаимодействия и к операционным системам, в том числе к прикладному программному обеспечению.

72. Уязвимости операционной системы и прикладного программного обеспечения в частном случае могут представлять:

• функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой;

• фрагменты кода программ (“дыры”), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.;

• отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.);

• ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.

73. Уязвимости протоколов сетевого взаимодействия связаны с особенностями их программной реализации и обусловлены ограничениями на размеры применяемого буфера, недостатками процедуры аутентификации, отсутствием проверок правильности служебной информации и др. Так, например, протокол прикладного уровня FTP, широко используемый в Интернете, производит аутентификацию на базе открытого текста, тем самым позволяя перехватывать данные учетной записи. Краткая характеристика этих уязвимостей применительно к протоколам приведена в Приложении 6. 

74. Данные об уязвимостях разрабатываемого и распространяемого прикладного программного обеспечения собираются, обобщаются и анализируются в базе данных MITRE CVE.

75. Реестры уязвимостей обусловлены потребностью в регулярном распространении бюллетеней и сводок о найденных уязвимостях для каждого типа и версии программных продуктов и сред. Такие реестры поддерживаются как крупными разработчиками программных обеспечений (например Adobe, Microsoft, RedHat), так и различными ассоциациями (US-CERT, Secunia, Open Security Foundation). Последние создали ряд реестров, группирующих в единой системе идентификаторов (например, CVE-ID) уязвимости программных обеспечений различных разработчиков.

76. Стандарт Common Vulnerabilities and Exposures (CVE), разработанный американской некоммерческой исследовательской корпорацией MITRE Corporation в 1999 году, де-факто является на сегодняшний день основным стандартом в области унифицированного именования и регистрации обнаруженных уязвимостей программного обеспечения. Данный стандарт непосредственно определяет как формат идентификаторов и содержимого записей об отдельных обнаруженных уязвимостях, так и процесс резервирования идентификаторов для новых обнаруженных уязвимостей и пополнения соответствующих баз данных.

• CVE List – реестр уязвимостей MITRE Corporation;

• NVD (National Vulnerability Database) – база данных уязвимостей Национального института технологий и стандартов США.

77. MITRE Att&ck (Adversarial Tactics, Techniques & Common Knowledge – «тактики, техники и общеизвестные факты о злоумышленниках») – основанная на реальных наблюдениях база знаний организации MITRE, содержащая описание тактик, приемов и методов, используемых киберпреступниками.

78. Информация в базе знаний MITRE Att&ck представлена в виде матриц, каждая из которых представляет собой таблицу, в которой заголовки столбцов соответствуют тактикам киберпреступников, то есть основным этапам кибератаки или подготовки к ней, а содержимое ячеек – методикам реализации этих тактик, или техникам. Так, если сбор данных согласно MITRE Att&ck – это тактика атаки, то способы сбора, например автоматический сбор или сбор данных со съемных носителей – это техники.

79. Матрицы MITRE Att&ck объединены в четыре группы:

• PRE-ATT&CK – тактики и техники, которые злоумышленники используют на этапе подготовки к кибератаке.

• Enterprise – тактики и техники, которые злоумышленники применяют в ходе атаки на предприятия. В этой группе доступна как сводная матрица, так и отдельные матрицы, содержащие тактики и техники кибератак на конкретные операционные системы и облачные сервисы.

• Mobile – тактики и техники, которые злоумышленники используют в ходе атаки на мобильные устройства под управлением iOS и Android.

• Att&ck for ICS – тактики и техники, которые используются в атаках на промышленные системы управления.

80. Матрица MITRE Att&ck содержит набор методов, используемых злоумышленниками для достижения конкретной цели. Эти цели классифицируются как тактика в матрице Att&ck. Цели представлены линейно от точки разведки до конечной цели эксфильтрации или «воздействия». Выделяют следующие тактики злоумышленников:

1. Первоначальный доступ: попытка проникнуть в сеть, т.е. целевой фишинг.

2. Выполнение: попытка запуска вредоносного кода, т.е. запуск инструмента удаленного доступа.

3. Настойчивость: попытка удержать свои точки опоры, т.е. изменение конфигурации.

4. Повышение привилегий: попытка получить разрешения более высокого уровня, т. е. использование уязвимости для повышения уровня доступа.

5. Уклонение от защиты: попытка избежать обнаружения, т.е. использование доверенных процессов для сокрытия вредоносных программ.

6. Доступ к учетным данным: кража имен учетных записей и паролей, т.е. Кейлоггинг

7. Обнаружение: попытка выяснить ваше окружение, т.е. изучение того, что они могут контролировать.

8. Боковое перемещение: перемещение по вашей среде, т.е. Использование законных учетных данных для поворота через несколько систем.

9. Сбор: сбор данных, представляющих интерес для цели противника, т.е. Доступ к данным в облачном хранилище.

10. Эксфильтрация: Злоумышленник пытается украсть данные.

11. Командование и управление: взаимодействие со скомпрометированными системами для управления ими, т.е. имитация обычного веб-трафика для связи с сетью-жертвой.

12. Воздействие: манипулирование, прерывание или уничтожение систем и данных, т. е. шифрование данных с помощью программ-вымогателей.

13. Разведка: сбор информации для планирования будущих операций противника, т.е Информация о целевой организации.

14. Развитие ресурсов: создание ресурсов для поддержки операций, т.е. создание инфраструктуры управления и контроля.

81. В каждой тактике матрицы MITRE Att&ck есть приемы противника, которые описывают реальную деятельность, осуществляемую противником. У некоторых техник есть подтехники, которые более подробно объясняют, как противник выполняет конкретную технику. 

82. База OSVDB была запущена в 2004 году. Одним из косвенных результатов деятельности коллектива исследователей, причастных к развитию базы OSVDB, стало основание в 2005 году организации Open Security Foundation. Ее целью является поиск уязвимостей и агрегация публично доступной информации об обнаруженных уязвимостях или сценариях их эксплуатации. 

83. OSVDB на постоянной основе продолжается поддержка проекта (https://blog.osvdb.org). При этом сотрудничество организации Open Security Foundation и коммерческой компании Risk Based Security привело к созданию каталога уязвимостей VulnDB, как коммерческой реинкарнации OSVDB.

84. По состоянию на 2018 год доступная по платной подписке в виде сервиса база VulnDB (https://vulndb.cyberriskanalytics.com/) содержит информацию о 176 тыс. обнаруженных уязвимостях (включая почти 60 тыс. записей об уязвимостях, отсутствующих в базах CVE List и NVD), а поддерживающие базу специалисты отслеживают появление новых уязвимостей для 19 тыс. современных программных продуктов и 2 тыс. популярных библиотечных компонентов. 

85. Одной из основных организаций отвечающих за обеспечение информационной безопасности в ключевых системах информационной инфраструктуры, включая компьютерные сети органов государственной власти и компьютерные сети критичных объектов инфраструктуры и предприятий на территории СНГ, является российская Федеральная служба по техническому и экспортному контролю – ФСТЭК России.

86. Для обеспечения деятельности по сертификации средств защиты информации и обнаружения уязвимостей программного обеспечения, ФСТЭК России с 2014 года поддерживает собственный реестр известных угроз информационной безопасности и уязвимостей программного обеспечения – Банк данных угроз безопасности информации.

7.4 Классификация дефектов

87. Данный вид касается систематизации дефектов безопасности программного обеспечения при исследовании исходного кода программного обеспечения. В отличие от известных описанных уязвимостей (внесенных в реестры) дефекты представляют собой внутреннее свойство каждой реализации программного обеспечения или системы.

88. Большая часть дефектов возникает в процессе создания программного обеспечения. Это могут быть ошибки проектирования, ошибки кодирования программистов, ошибки, допущенные при сборке дистрибутива и интеграции различных версий компонентов программного обеспечения.

89. Некоторые таксономии включают понятие дефектов информационной системы, которые связаны с конфигурацией системы и вызваны либо ошибками администраторов (например, неверными настройками схемы аутентификации, несвоевременной установкой обновлений операционной системы или сетевых сервисов), либо ошибками операторов информационных систем(например, слабыми паролями в учетной записи, некорректным выключением компьютера).

90. В табл. 3. представлены популярные классификации в области безопасности программного обеспечения. Из табл. 3. видно, что в настоящее время известно достаточно большое количество таксономий в области информационной безопасности, но в основном они ориентированы на конкретные задачи, будь то сетевые атаки, уязвимости операционных систем или некорректности программирования.

Таблица 3. Классификации в области безопасности программного обеспечения

91. Дерево предлагаемой классификации уязвимостей на основе причин их возникновения (дефектов) в общем виде представлено в Таблице 4. Классификация включает два типа и восемь классов.

Типы представляют собой:

•  уязвимости, вызванные дефектами проектирования и программирования;

•  уязвимости, вызванные дефектами конфигурирования и управления.

92. Восемь классов соответствуют наиболее применимым с точки зрения практики анализа кода международным таксономиям, а именно включают уязвимости, связанные со следующим:

1. обработкой и представлением данных;

2. внутренней структурой и зависимостями компонентов;

3. обработкой событий и состояний;

4. внутренними механизмами и ресурсами;

5. преднамеренным внедрением;

6. качеством проектирования и документированием;

7. конфигурациями;

8. окружением.

93. Элементы дерева классификации имеют вид абстрактных данных, то есть содержат необходимые свойства, отражающие различные связи и ссылки на международные источники и др. Для удобства восприятия ссылки на международные стандарты вынесены в Таблице 5.

94. В Таблице 4 предложены принципы таксономии, ориентированной на дефекты кода и эксплуатации систем и комплексированной с международными таксономиями CWE и Fortify. К достоинству такого подхода следует отнести учет реальных причин уязвимостей, соответствие наиболее удобным международным практикам классификации и возможность исключения многократного дублирования отдельных позиций.

Таблица 4. Классификация уязвимостей на основе причин их возникновения

Таблица 5. Соответствие международным стандартам 

8.Актуальные угрозы безопасности информационных систем государственных органов, органов местного самоуправления, организаций и учреждений.

95. Государственные информационные системы (далее – ГИС) используемые государственными органами, органами местного самоуправления, а также государственными учреждениями и организациями, в том числе акционерными обществами, в которых имеется государственная доля, обрабатывающие персональные данные, отличаются следующими особенностями:

• использованием широкой номенклатуры (зачастую уникальных) технических средств получения, отображения и обработки информации;

• использованием специального (адаптированного под конкретную задачу) программного обеспечения;

• наличием значительного количества автоматизированных рабочих мест, участвующих в обработке персональных данных;

• построением ГИС на базе распределенной по территории Кыргызской Республики вычислительной сети со сложной архитектурой;

• наличием выходов в сети общего пользования и (или) сети международного информационного обмена, локальные вычислительные сети сторонних организаций;

• использованием разнообразной телекоммуникационной среды, принадлежащей различным операторам связи;

• широким применением средств защиты информации, сертифицированных средств криптографической защиты информации при информационном обмене по сетям связи общего пользования и (или) сетям международного информационного обмена;

• использованием аутсорсинга при создании и эксплуатации ГИС и ее элементов;

• сложностью дублирования больших массивов информации, содержащей персональные данные, на бумажных носителях и внешних накопителях информации;

• значительными негативными последствиями при реализации угроз безопасности ГИС;

• риском недостаточной квалификации пользователей и обслуживающего ГИС и средств защиты информации персонала;

• проблемами взаимодействия различных ГИС, вызванными несовершенством действующего законодательства и ведомственных инструкций.

96. Актуальными угрозами безопасности ГИС, обрабатывающих персональные данные учитывая положения, изложенные в настоящем разделе, помимо угроз, указанных в пункте 3 настоящего Типового перечня, признаются:

• угрозы аппаратно-программным средствам виртуализации (при их использовании в ГИС);

• угрозы обнаружения хостов;

• угрозы обнаружения открытых портов и идентификации привязанных к ним сетевых служб;

• угрозы неправомерных действий в каналах связи;

• угрозы межсайтового скриптинга;

• угрозы межсайтовой подделки запросов;

• угрозы использования альтернативных путей доступа к ресурсам;

• угрозы фишинга;

• угрозы фарминга;

• угрозы спама веб-сервера;

• угрозы доступа/перехвата/изменения HTTP cookies;

• угрозы "кражи" учетной записи доступа к сетевым сервисам;

• угрозы подмены субъекта сетевого доступа;

• угрозы подмены содержимого сетевых ресурсов;

• угрозы перехвата данных, передаваемых по вычислительной сети;

• угрозы передачи данных по скрытым каналам;

• угрозы несанкционированного доступа по каналам связи.

97. В зависимости от целей и содержания обработки персональных данных оператор может осуществлять обработку персональных данных в информационных системах различных типов.

• По структуре информационные системы подразделяются на автоматизированные рабочие места, локальные информационные системы и распределенные информационные системы.

• По наличию подключений к сетям связи общего пользования и (или) сетям международного информационного обмена информационные системы подразделяются на системы, имеющие подключения, и системы, не имеющие подключений.

• По режиму обработки персональных данных в информационной системе информационные системы подразделяются на однопользовательские и многопользовательские.

• По разграничению прав доступа пользователей информационные системы подразделяются на системы без разграничения прав доступа и системы с разграничением прав доступа.

98. Информационные системы в зависимости от местонахождения их технических средств подразделяются на системы, все технические средства которых находятся в пределах Кыргызской Республики, и системы, технические средства которых частично или целиком находятся за пределами Кыргызской Республики.

99. В Приложении 7 представлен список источников, которые могут быть полезными при рассмотрении различных вопросов защиты персональных данных и кибербезопасности. Список не преследует цели дать исчерпывающий перечень международных стандартов и технических отчетов по всем аспектам защиты персональных данных и кибербезопасности.

Приложение 1. Виды и мотивация нарушителей

Приложение 2. Виды программ-вымогателей

Приложение 3. Классификация распространенных троянских типов приложений

Приложение 4. Категории DoS и DDoS-трафика

Приложение 5. Классификация и цели DDoS-атак по уровням OSI

Интернет использует модель OSI. Всего в модели присутствует 7 уровней, которые охватывают все среды коммуникации: начиная с физической среды (1-й уровень) и заканчивая уровнем приложений (7-й уровень), на котором «общаются» между собой программы. DDoS-атаки возможны на каждом из семи уровней. 

Приложение 6. Уязвимости отдельных протоколов стека протоколов TCP/IP, на базе которого функционируют глобальные сети общего пользования

Приложение 7. Примерный список источников, полезных при рассмотрении вопросов защиты персональных данных и кибербезопасности

Документы Международной Организации по Стандартизации (ISO) и Международной электротехнической комиссии (IEC)

Системы менеджмента информационной безопасности 

• ISO/IEC 27000 «Information technology – Security techniques – Information security management systems – Overview and vocabulary» (аналог- ГОСТ РИСО/ МЭК. 27000. «Информационные технологии. Обеспечение безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология»)

• ISO/IEC 27001 «Information technology – Security techniques – Information security management systems – Requirements» (аналог-ГОСТРИСО/МЭК 27001-2006. «Информационные технологии. Обеспечение безопасности. Системы менеджмента информационной безопасности. Требования »).

• ISO/IEC 27002 «Information technology – Security techniques – Code of practice for information security management» (Информационные технологии. Обеспечение безопасности.Практические правила менеджмента информационной безопасности).

• ISO/IEC 27003 «Information technology – Security techniques – Information security management system implementation guidance» (аналог-ГОСТРИСО/МЭК 27003. «Информационные технологии. Обеспечение безопасности. Руководство по внедрению системы менеджмента информационной безопасности.» ).

• ISO/IEC 27010 «Information technology – Security techniques – Information security management for intersector communications» (Информационные технологии. Обеспечение безопасности. Руководство по менеджменту информационной безопасности при межведомственном взаимодействии. )

Менеджмент рисков

• ISO/IEC 27005 «Information technology – Security techniques – Information security risk management» (аналог - ГОСТ Р ИСО/МЭК 27005-2910. «Информационные технологии. Обеспечение безопасности. Менеджмент риска информационной безопасности» ).

• ISO/IEC 16085 «Systems and software engineering – Life cycle processes – Risk management» (аналог - ГОСТ Р ИСО/МЭК 16085-2007. «Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения» ).

Оценка безопасности IT-систем 

• ISO/IEC 15408 «Information technology – Security techniques – Evaluation criteria for IT security» (аналог - ГОСТ Р ИСО/МЭК 15408-2008. «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).

• ISO/IEC 18045 «Information technology – Security techniques – Methodology for IT security evaluation» (аналог - ГОСТ Р ИСО/МЭК 18045-2008. «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»).

• ISO/IEC 19791 «Information technology – Security techniques – Security assessment of operational systems». (аналог - ГОСТ Р ИСО/МЭК 19791-2008. «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем» ).

Обеспечение безопасности 

• ISO/IEC 15443 «Information Technology–Security Techniques–A framework for IT Security assurance» (аналог - ГОСТ Р 54581-2001/ISO/IEC/TR 15443-2005 «Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ»).

• ISO/IEC 15026 «Systems and software engineering – Systems and software assurance» (Системная И программная инженерия. Гарантированность систем и программного обеспечения. )

Разработка и реализация 

• ISO/IEC 12207 «Systems and software engineering – Software life cycle processes» (аналог-ГОСТРИСО/МЭК 12207-2010. «Системная и программная инженерия. Процессы жизненного цикла программных средств» ).

• ISO/IEC 14764 «Software Engineering – Software Life Cycle Processes – Maintenance» (аналог-ГОСТ Р ИСО/МЭК 14764-2002. «Информационная технология. Сопровождение программных средств» ).

• ISO/IEC 15288 «Systems and software engineering – System life cycle processes» (аналог-ГОСТ Р ИСО/МЭК 15288-2005. «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла систем» ).

• ISO/IEC 23026 «Software Engineering – Recommended Practice for the Internet – Web Site Engineering, Web Site Management, and Web Site Life Cycle» (Разработк апрограммного обеспечения. Рекомендуемая практика для Интернета. Разработка веб-сайтов, администрирование веб-сайтов и жизненный цикл веб-сайтов.)

• ISO/IEC 42010 «Systems and software engineering – Architecture description» (Системная и программная инженерия. Описание архитектуры. )

Аутсорсинг и услуги третьих сторон 

• ISO/IEC 14516 «Information technology – Security techniques – Guidelines for the use and management of Trusted Third Party services» (Информационные технологии. Методы защиты. Руководящие указания по использованию и менеджменту доверенных сервисов третьей стороны. )

• ISO/IEC 15945 «Information technology–Security techniques–Specification of TTP services to support the application of digital signatures» (аналоги– ДСТУ ISO/IEC TR 14516:2008 «Информационные технологии – Методы защиты – Руководящие указания по применению и управлению службами доверенной третьей стороны». ) 

Сетевая безопасность и безопасность приложений 

• ISO/IEC 18028 «Information technology – Security techniques – IT network security» (аналог-ГОСТ Р ИСО/МЭК 18028-2008. «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Менеджмент сетевой безопасности». )

• ISO/IEC 18043 «Information technology – Security techniques – Selection, deployment and operations of intrusion detection systems» ( Информационные технологии. Методы защиты. Выбор, развертывание и эксплуатация систем обнаружения вторжений. )

• ISO/IEC 27033 «Information technology – Security techniques – Network security» (аналог-ГОСТ Р ИСО/МЭК 27033 «Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей». )

• ISO/IEC 27034 «Information technology – Security techniques – Guidelines for application security» (Информационные технологии. Методы обеспечения безопасности. Безопасность приложений. )

Непрерывность и менеджмент инцидентов 

• ISO/IEC 18044 «Information technology – Security techniques – Information security incident management» (аналог- ГОСТ Р ИСО/МЭК ТО 18044. «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» ). 

• ISO/IEC 24762 «Information technology – Security techniques – Guidelines for information and communications technology disaster recovery services» (аналог-ГОСТ Р 53131-2008 (ИСО/МЭК ТО 24762:2008) «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий»).

• ISO/IEC 27031 «Information technology – Security techniques – Guidelines for ICT readiness for business continuity» (Информационные технологии. Методы обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса. )

• ISO/IEC 27035 «Information technology – Security techniques – Information security incident management» (Информационные технологии. Методы обеспечения безопасности. Менеджмент инцидентов информационной безопасности. )

Менеджмент идентификации, установления тождественности (Identity management)

• ISO/IEC 24760 «Information technology – Security techniques – A framework for identity management» (Информационные технологии. Методы обеспечения безопасности. Базовая модель менеджмента идентификации. )

Информационная неприкосновенность, информационный суверенитет личности (Privacy)

• ISO/IEC 29100 «Information technology – Security techniques – Privacy framework» (Информационные технологии. Методы обеспечения безопасности. Базовая модель обеспечения информационного суверенитета личности. )

Менеджмент активов ISO/IEC 19770 «Information technology – Software asset management». (Информационные технологии. Менеджмент программного обеспечения. )

Менеджмент услуг ISO/IEC 20000 «Information technology – Service management» (аналог-ГОСТ Р ИСО/МЭК 20000-1-2010. «Информационная технология. Менеджмент услуг» ).

Документы Международного союза телекоммуникаций (ITU)

Кибербезопасность 

• ITU-TX.1200 –X.1299 Series. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Cyberspace security. (Рекомендации МСЭ-Т. Х.1200-Х.1299. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций.» - Безопасность Киберпространства» ).

• ITU-TX.1205. -SeriesX: DataNetworks, OpenSystemCommunicationsandSecurity, TelecommunicationSecurity–OverviewofCybersecurity. (Рекомендации МСЭ-Т. Х.1205. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Общее представление о кибербезопасности» ).

Менеджмент непрерывности бизнеса и менеджмент инцидентов 

• ITU-T X.1206. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – A vendor-neutral framework for automatic notification of security related information and dissemination of updates (Рекомендации МСЭ-Т. Х.1206. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Независимый от производителя фреймворк автоматического распространения обновлений и рассылки информации, связанной с безопасностью» ) 

Нежелательные программные коды

• ITU-T X.1207. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Guidelines for Telecommunication Service Providers for Addressing the Risk of Spyware and Potentially Unwanted Software. (Рекомендации МСЭ-Т. Х.1207. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Руководящие указания провайдерам телекоммуникационных услуг в отношении обращения с рисками шпионских программ и потенциально нежелательных программных кодов»).

Противодействие спаму 

• ITU-T X.1231. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technical strategies for countering spam. (Рекомендации МСЭ-Т. Х.1231. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Технические методы противодействия спаму» ).

• ITU-T X.1240. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technologies involved in countering e-mail spam. (Рекомендации МСЭ-Т. Х.1240. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Технологии, применяемые для противодействия спаму, рассылаемому по электронной почте» ).

• ITU-T X.1241. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Technical framework for countering email spam. (Рекомендации МСЭ-Т. Х.1241. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Технический фреймворк противодействия спаму, рассылаемому по электронной почте»).

• ITU-T X.1244. Series X: Data Networks, Open System Communications and Security, Telecommunication Security – Overall aspects of countering spam in IP-based multimedia applications. (Рекомендации МСЭ-Т. Х.1244. Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Общие аспекты противодействия спаму в мультимедийных приложениях, использующих IP-технологии»).

Обмен информацией, имеющей отношение к кибербезопасности 

• ITU-TX.1500-X.1598 Серия (CYBEX). Series X: Data networks, Open System Communications and Security – Cybersecurity Information Exchange. (Рекомендации МСЭ-Т. Х.1500- Х.1598 (CYBEX). Серия Х: «Сети передачи данных. Взаимодействие и безопасность открытых систем. Безопасность телекоммуникаций. Обмен информацией по вопросам кибербезопасности»).ПРИМЕЧАНИЕ. Поскольку в МСЭ-Т работа над рекомендациями серии CYBEX по состоянию на сентябрь 2011 года еще не была завершена, в качестве готовых рекомендаций или драфт-версий были доступны только X.1500, X.1520, X.1521, иX.1570. Для получения новейшей доступной информации пользователям следует регулярно обращаться к веб-сайту МСЭ-Т (ITU-T). 

₪ Скачать: