2
.1.pdf
Практическое задание к теме: Информационная безопасность в сфере инженерной деятельности Тема: Определение уровня защищенности персональных данных
Цель работы: в соответствии с пройденной темой, учащимся предлагается для выполнения практическое задание для закрепления полученного теоретического материала.
Задание:
Задание 1. Изучите документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». ФСТЭК России от 15.02.2008 г.
Задание 2. Изучите категории нарушителей, описанные в документе ФСТЭК России «Базовая модель». Для конкретной информационной системы определите перечень вероятных нарушителей с учетом всех исключений.
Выбранная система: Автоматизированная информационная система по
проверке и анализу кредитоспособности
Возможные категории нарушителей, описанные в документе ФСТЭК России «Базовая модель»:
Категория |
Перечень лиц |
Описание |
категории |
нарушителя |
|
нарушителя |
|
Задание 3. Изучите модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составьте перечень всех возможных угроз по документу ФСТЭК России «Базовая модель».
Отчет по практическому заданию должен содержать:
1.ФИО и номер группы учащегося, задание
2.Выполнение задания в соответствии с указанными пунктами
3.Шрифт times new roman, 14шрифт, одинарный интервал, выравнивание по ширине, отступ 1,25
ПРИМЕР ОФОРМЛЕНИЯ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ АВТОНОМНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «МОСКОВСКИЙ ПОЛИТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»
ПРАКТИЧЕСКАЯ РАБОТА ПО ТЕМЕ
«Определение уровня защищенности персональных данных»
Руководители |
______________ ---ФИО--- |
Выполнил(а) |
______________ ---ФИО студента-- |
Москва 202__
Задание 1. Изучите документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных». ФСТЭК России от 15.02.2008 г.
Задание 2. Изучите категории нарушителей, описанные в документе ФСТЭК России «Базовая модель». Для конкретной информационной системы определите перечень вероятных нарушителей с учетом всех исключений.
Выбранная система: Автоматизированная информационная система по
проверке и анализу кредитоспособности
Возможные категории нарушителей, описанные в документе ФСТЭК России «Базовая модель»:
Категория |
Перечень лиц |
|
Описание |
категории |
|
нарушителя |
|
|
нарушителя |
||
Внешние нарушители |
криминальные структуры; |
Внешний |
нарушитель |
||
|
конкуренты |
|
имеет |
|
следующие |
|
(конкурирующие |
|
возможности: |
||
|
организации); |
|
осуществлять |
||
|
недобросовестные |
несанкционированный |
|||
|
партнеры; |
|
доступ к каналам связи, |
||
|
внешние |
субъекты |
выходящим |
||
|
(физические лица). |
за пределы служебных |
|||
|
|
|
помещений; |
||
|
|
|
осуществлять |
||
|
|
|
несанкционированный |
||
|
|
|
доступ |
|
через |
|
|
|
автоматизированные |
||
|
|
|
рабочие |
места, |
|
|
|
|
подключенные к сетям |
||
|
|
|
связи |
|
общего |
|
|
|
пользования и (или) |
||
|
|
|
сетям |
|
|
|
|
|
международного |
||
|
|
|
информационного |
||
|
|
|
обмена; |
|
|
|
|
|
осуществлять |
||
|
|
|
несанкционированный |
||
|
|
|
доступ к информации |
||
|
|
|
с |
использованием |
|
|
|
|
специальных |
||
|
|
|
программных |
||
|
|
|
воздействий |
|
|
|
|
|
посредством |
|
|
|
|
|
программных вирусов, |
||
|
|
|
вредоносных |
|
|
|
|
|
программ, |
|
|
|
|
|
алгоритмических или |
||
|
|
|
программных |
|
|
|
|
|
закладок; |
|
|
|
|
|
осуществлять |
|
|
|
|
|
несанкционированный |
||
|
|
|
доступ через элементы |
||
|
|
|
информационной |
|
|
|
|
|
инфраструктуры |
|
|
|
|
|
ИСПДн, |
которые в |
|
|
|
|
процессе своего |
|
|
|
|
|
жизненного |
цикла |
|
|
|
|
(модернизации, |
|
|
|
|
|
сопровождения, |
|
|
|
|
|
ремонта, утилизации) |
||
|
|
|
оказываются |
за |
|
|
|
|
пределами |
|
|
|
|
|
контролируемой зоны; |
||
|
|
|
осуществлять |
|
|
|
|
|
несанкционированный |
||
|
|
|
доступ |
|
через |
|
|
|
информационные |
|
|
|
|
|
системы |
|
|
|
|
|
взаимодействующих |
||
|
|
|
ведомств, |
организаций |
|
|
|
|
и учреждений при их |
||
|
|
|
подключении к ИСПДн |
||
Внутренний |
|
Должностные |
лица, Лицо этой категории, |
||
нарушитель: |
лица, |
обеспечивающие |
может: |
|
|
имеющие |
|
нормальное |
иметь |
доступ |
к |
санкционированный |
функционирование |
фрагментам |
|
||
доступ к ИСПДн, но |
ИСПДн |
информации, |
|
||
не имеющие доступа |
|
содержащей ПДн и |
|||
к ПДн |
|
|
|
|
|
|
|
распространяющейся |
|||
|
|
по внутренним каналам |
|||
|
|
связи ИСПДн; |
|
||
|
|
располагать |
|
|
|
|
|
фрагментами |
|
|
|
|
|
информации |
|
о |
|
|
|
топологии ИСПДн |
|
||
|
|
(коммуникационной |
|||
|
|
части |
подсети) и |
об |
|
|
|
используемых |
|
||
|
|
коммуникационных |
|
||
|
|
протоколах |
и |
их |
|
|
|
сервисах; |
|
|
|
|
|
располагать именами и |
|||
|
|
вести |
выявление |
||
|
|
паролей |
|
|
|
|
|
зарегистрированных |
|||
|
|
пользователей; |
|
||
|
|
изменять |
|
|
|
|
|
конфигурацию |
|
||
|
|
технических |
средств |
||
|
|
ИСПДн, вносить в нее |
|||
|
|
программно- |
|
|
|
|
|
аппаратные закладки и |
|||
|
|
обеспечивать |
съем |
||
|
|
информации, |
|
|
|
|
|
используя |
|
|
|
|
|
непосредственное |
|
||
|
|
подключение |
|
к |
|
|
|
техническим средствам |
|||
|
|
ИСПДн. |
|
|
|
Внутренний |
Зарегистрированные |
Обладает |
всеми |
||
нарушитель: |
пользователи |
возможностями |
лиц |
||
зарегистрированные |
ИСПДн |
первой категории; |
|
||
пользователи |
|
знает, |
по |
меньшей |
|
ИСПДн, |
|
мере, |
одно |
легальное |
|
осуществляющие |
|
имя доступа; |
|
|
|
ограниченный доступ |
|
обладает |
всеми |
||
к ресурсам ИСПДн |
|
необходимыми |
|
||
с рабочего места |
|
атрибутами (например, |
|||||
|
|
|
паролем), |
|
|
|
|
|
|
|
обеспечивающими |
||||
|
|
|
доступ |
к |
некоторому |
||
|
|
|
подмножеству ПДн; |
||||
|
|
|
располагает |
|
|
||
|
|
|
конфиденциальными |
||||
|
|
|
данными, |
к |
которым |
||
|
|
|
имеет доступ. |
|
|
||
Внутренний |
Зарегистрированные |
Обладает |
|
|
всеми |
||
нарушитель: |
пользователи ИСПДн |
возможностями |
лиц |
||||
зарегистрированные |
|
предыдущих |
|
|
|||
пользователи ИСПДн |
|
категорий; |
|
|
|
||
с |
полномочиями |
|
обладает |
|
полной |
||
администратора |
|
информацией |
|
о |
|||
безопасности |
|
системном |
|
и |
|||
сегмента (фрагмента) |
|
прикладном |
|
|
|||
ИСПДн. |
|
программном |
|
|
|||
|
|
|
обеспечении, |
|
|
||
|
|
|
используемом |
|
в |
||
|
|
|
сегменте |
(фрагменте) |
|||
|
|
|
ИСПДн; |
|
|
|
|
|
|
|
26 |
|
|
|
|
|
|
|
обладает |
|
полной |
||
|
|
|
информацией |
|
о |
||
|
|
|
технических средствах |
||||
|
|
|
и конфигурации |
|
|||
|
|
|
сегмента |
(фрагмента) |
|||
|
|
|
ИСПДн; |
|
|
|
|
|
|
|
имеет |
|
доступ |
к |
|
|
|
|
средствам |
|
защиты |
||
|
|
|
информации |
|
и |
||
|
|
|
протоколирования, а |
||||
|
|
|
также |
к |
отдельным |
||
|
|
|
элементам, |
|
|
||
|
|
|
используемым |
|
в |
||
|
|
|
сегменте |
(фрагменте) |
|||
|
|
|
ИСПДн; |
|
|
|
|
|
|
имеет доступ |
ко |
всем |
|
|
техническим средствам |
||
|
|
сегмента (фрагмента) |
||
|
|
ИСПДн; |
|
|
|
|
обладает |
правами |
|
|
|
конфигурирования |
и |
|
|
|
административной |
|
|
|
|
настройки |
|
|
|
|
некоторого |
|
|
|
|
подмножества |
|
|
|
|
технических |
средств |
|
|
|
сегмента (фрагмента) |
||
|
|
ИСПДн. |
|
|
Внутренний |
Зарегистрированные |
Лицо этой категории: |
||
нарушитель: |
пользователи с |
обладает |
всеми |
|
зарегистрированные |
полномочиями системного |
возможностями |
лиц |
|
пользователи с |
администратора ИСПДн |
предыдущих |
|
|
полномочиями |
|
категорий; |
|
|
системного |
|
обладает |
полной |
|
администратора |
|
информацией |
|
о |
ИСПДн |
|
системном |
|
и |
|
|
прикладном |
|
|
|
|
программном |
|
|
|
|
обеспечении ИСПДн; |
||
|
|
обладает |
полной |
|
|
|
информацией |
|
о |
|
|
технических средствах |
||
|
|
и конфигурации |
|
|
|
|
ИСПДн; |
|
|
|
|
имеет доступ |
ко |
всем |
|
|
техническим средствам |
||
|
|
обработки информации |
||
|
|
и |
|
|
|
|
данным ИСПДн; |
|
|
|
|
обладает |
правами |
|
|
|
конфигурирования |
и |
|
|
|
административной |
|
|
|
|
настройки |
|
|
|
|
технических |
средств |
|||
|
|
ИСПДн. |
|
|
|
|
Внутренний |
Зарегистрированные |
Обладает |
|
всеми |
||
нарушитель: |
пользователи |
возможностями |
|
лиц |
||
зарегистрированные |
|
предыдущих |
|
|
||
пользователи с |
|
категорий; |
|
|
|
|
полномочиями |
|
обладает |
|
полной |
||
администратора |
|
информацией |
|
об |
||
безопасности |
|
ИСПДн; |
|
|
|
|
ИСПДн. |
|
имеет |
|
доступ |
к |
|
|
|
средствам |
|
защиты |
||
|
|
информации |
|
и |
||
|
|
протоколирования и к |
||||
|
|
части |
|
ключевых |
||
|
|
элементов ИСПДн; |
|
|||
|
|
не имеет прав доступа к |
||||
|
|
конфигурированию |
|
|||
|
|
технических |
средств |
|||
|
|
сети за |
|
|
|
|
|
|
исключением |
|
|
||
|
|
контрольных |
|
|
||
|
|
(инспекционных). |
|
|||
Внутренний |
Программисты- |
обладает информацией |
||||
нарушитель: |
разработчики(поставщики) |
об |
алгоритмах |
и |
||
программисты- |
прикладного |
программах обработки |
||||
разработчики |
программного обеспечения |
информации |
|
на |
||
(поставщики) |
и лица, обеспечивающие |
ИСПДн; |
|
|
|
|
прикладного |
его сопровождение на |
27 |
|
|
|
|
программного |
защищаемом объекте |
обладает |
|
|
|
|
обеспечения и лица, |
|
возможностями |
|
|
||
обеспечивающие |
|
внесения |
ошибок, |
|||
его сопровождение на |
|
недекларированных |
||||
защищаемом объекте |
|
возможностей, |
|
|
||
|
|
программных закладок, |
||||
|
|
вредоносных программ |
||||
|
|
в программное |
|
|
||
|
|
обеспечение ИСПДн на |
||||
|
|
стадии ее |
разработки, |
|||
|
|
|
|
внедрения |
|
и |
|
|
|
|
|
сопровождения; |
|
||
|
|
|
|
может |
располагать |
||
|
|
|
|
любыми |
фрагментами |
||
|
|
|
|
информации |
|
о |
|
|
|
|
|
топологии |
|
|
|
|
|
|
|
ИСПДн и технических |
|||
|
|
|
|
средствах обработки и |
|||
|
|
|
|
защиты |
|
ПДн, |
|
|
|
|
|
обрабатываемых |
|
||
|
|
|
|
в ИСПДн. |
|
|
|
Внутренний |
|
Разработчики |
и лица, |
обладает |
|
|
|
нарушитель: |
|
обеспечивающие |
возможностями |
|
|||
разработчики и лица, |
поставку, сопровождение и |
внесения |
закладок |
в |
|||
обеспечивающие |
|
ремонт |
технических |
технические средства |
|||
поставку, |
|
средств на ИСПДн |
ИСПДн |
на |
стадии |
их |
|
сопровождение |
и |
|
|
разработки, |
внедрения |
||
ремонт технических |
|
|
и сопровождения; |
|
|||
средств на ИСПДн |
|
|
|
может |
располагать |
||
|
|
|
|
любыми |
фрагментами |
||
|
|
|
|
информации |
|
о |
|
|
|
|
|
топологии |
|
|
|
|
|
|
|
ИСПДн и технических |
|||
|
|
|
|
средствах обработки и |
|||
|
|
|
|
защиты информации в |
|||
|
|
|
|
ИСПДн. |
|
|
|
|
|
|
|
Указанные |
категории |
||
|
|
|
|
нарушителей должны |
|||
|
|
|
|
учитываться |
при |
||
|
|
|
|
оценке |
|
|
|
возможностей реализации УБПДн
Задание 3. Изучите модели безопасности, описанные в документе ФСТЭК России «Базовая модель». Составьте перечень всех возможных угроз по документу ФСТЭК России «Базовая модель».
•угроз утечки информации по техническим каналам;
•угроз НСД к ПДн, обрабатываемым в автоматизированном рабочем месте.
•Угрозы утечки информации по техническим каналам включают в себя: o угрозы утечки акустической (речевой) информации;
o угрозы утечки видовой информации;
o угрозы утечки информации по каналу ПЭМИН.
•В ИСПДн на базе автономного АРМ возможны все виды уязвимостей ИСПДн, за исключением уязвимостей, связанных с реализацией протоколов сетевого взаимодействия и каналов передачи данных. В таких ИСПДн возможны:
oугрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой;
o угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной 65 системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.);
oугрозы внедрения вредоносных программ.
•Могут быть угрозы, аналогичные тем, которые имеют место в отдельном АРМ, не подключенном к сетям общего пользования, а также угрозы, реализуемые внутри распределенной сети с использованием протоколов межсетевого взаимодействия, в том числе:
oугрозы «Анализа сетевого трафика» с перехватом передаваемой по
сети информации;
o угрозы сканирования, направленные на выявление открытых портов
o и служб, открытых соединений и др.;
o угрозы внедрения ложного объекта сети;
o угрозы навязывания ложного маршрута путем несанкционированного
o изменения маршрутно-адресных данных; o угрозы выявления паролей;
o угрозы типа «Отказ в обслуживании»; o угрозы удаленного запуска приложений;
oугрозы внедрения по сети вредоносных программ
•Угрозы НСД в локальных ИСПДн связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн.
Угрозы НСД в ИСПДн, связанные с действиями нарушителей, имеющих доступ к ИСПДн, аналогичны тем, которые имеют место для отдельного