Файл: Модель угроз безопасности персональных данных при их обработке в испдн ао "втз".docx

"УТВЕРЖДАЮ"

Управляющий директор АО "ВТЗ"

________________ С.Г. Четвериков

"___" ______________ 2023 г.

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИСПДН

АО "ВТЗ"

Волжский, 2023 г.

ОГЛАВЛЕНИЕ

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ ........................................................................................ 7

ОБЩИЕ ПОЛОЖЕНИЯ ......................................................................................... 8
ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН .................... 9
1. Типы угроз безопасности ПДн ................................................................... 9
2. Угрозы утечки информации по техническим каналам ............................ 9
  1. Угрозы утечки акустической (речевой) информации .............................. 9
  2. Угрозы утечки видовой информации ......................................................... 9
  3. Угрозы утечки информации по каналам ПЭМИН ................................... 10
3. Угрозы НСД ................................................................................................ 11
  1. Угрозы НСД, связанные с действиями нарушителей, имеющих

доступ к ИСПДн. ......................................................................................... 11

Угрозы, связанные с реализацией протоколов сетевого

взаимодействия, реализуемые внутри распределенной сети .................. 12

Угрозы внедрения по сети вредоносных программ (программно-

математического воздействия) ................................................................... 15

Источники угроз безопасности ПДн ......................................................... 16
Категории нарушителей безопасности ПДн ............................................ 16

ОПИСАНИЕ ИСПДН .......................................................................................... 18
1. ИСПДн «Рабочие станции пользователей» ............................................. 18
  1. Общее описание ......................................................................................... 18
  2. Обрабатываемые в системе персональные данные ................................. 18
  3. Описание технологии функционирования и архитектуры системы ...... 22
  4. Описание механизмов и средств защиты ................................................. 23
2. ИСПДн «Active Directory». ........................................................................ 23
  1. Общее описание ......................................................................................... 23
  2. Обрабатываемые в системе персональные данные ................................ 24
  3. Описание технологии функционирования и архитектуры системы ...... 24
  4. Описание механизмов и средств защиты ................................................. 24
3. ИСПДн «1C: ЗИК 8.3» ................................................................................ 25
  1. Общее описание ........................................................................................... 25
  2. Обрабатываемые в системе персональные данные ................................. 25
  3. Описание технологии функционирования и архитектуры системы ...... 27
  4. Описание механизмов и средств защиты ................................................ 27
4. ИСПДн «1C: Бухгалтерия 8.3». ................................................................ 28
  1. Общее описание ......................................................................................... 28
  2. Обрабатываемые в системе персональные данные ................................ 28
  3. Описание технологии функционирования и архитектуры системы ...... 29
  4. Описание механизмов и средств защиты ................................................ 29
5. ИСПДн «1C: ЗИК 7.7» ............................................................................... 30
  1. Общее описание ......................................................................................... 30
  2. Обрабатываемые в системе персональные данные ................................ 30
  3. Описание технологии функционирования и архитектуры системы ...... 31
  4. Описание механизмов и средств защиты ................................................ 32
6. ИСПДн «1C: Бухгалтерия 7.7» .................................................................. 33
  1. Общее описание ......................................................................................... 33
  2. Обрабатываемые в системе персональные данные ................................. 33
  3. Описание технологии функционирования и архитектуры системы ...... 33
  4. Описание механизмов и средств защиты ................................................. 34
7. ИСПДн «Портал ДПО» ............................................................................. 35
  1. Общее описание ........................................................................................ 35
  2. Обрабатываемые в системе персональные данные ................................. 35
  3. Описание технологии функционирования и архитектуры системы ...... 36
  4. Описание механизмов и средств защиты ................................................. 37
8. ИСПДн «old.dpomos.ru» ............................................................................ 37
  1. Общее описание ......................................................................................... 37
  2. Обрабатываемые в системе персональные данные ................................. 37
  3. Описание технологии функционирования и архитектуры системы ...... 38
  4. Описание механизмов и средств защиты ................................................. 39
9. ИСПДн «mioo.seminfo.ru» ......................................................................... 39
  1. Общее описание ......................................................................................... 39
  2. Обрабатываемые в системе персональные данные ................................ 39
  3. Описание технологии функционирования и архитектуры системы ...... 40
  4. Описание механизмов и средств защиты ................................................ 41
10. ИСПДн «fgos.seminfo.ru» .......................................................................... 41
  1. Общее описание ......................................................................................... 41
  2. Обрабатываемые в системе персональные данные ................................. 42
  3. Описание технологии функционирования и архитектуры системы ...... 42
  4. Описание механизмов и средств защиты ................................................ 43
11. ИСПДн «mioo.ru» ...................................................................................... 43
  1. Общее описание ......................................................................................... 43
  2. Обрабатываемые в системе персональные данные ................................. 43
  3. Описание технологии функционирования и архитектуры системы ...... 44
  4. Описание механизмов и средств защиты ................................................. 45
12. ИСПДн «nachalka.seminfo.ru» ................................................................... 45
  1. Общее описание ......................................................................................... 45
  2. Обрабатываемые в системе персональные данные ................................. 46
  3. Описание технологии функционирования и архитектуры системы ...... 46
  4. Описание механизмов и средств защиты ................................................. 47
МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПДН ........................................................ 48
1. Модель угроз безопасности ПДн, обрабатываемых в ИСПДн «Рабочие

станции пользователей» ............................................................................ 48

Уровень исходной защищённости ИСПДн .............................................. 48
Описание угроз безопасности ПДн ........................................................... 50
Определение актуальности угроз безопасности ПДн ............................. 78

Модель угроз безопасности ПДн, обрабатываемых в ИСПДн «Active

Directory» .................................................................................................... 82

Уровень исходной защищённости ИСПДн .............................................. 82
Описание угроз безопасности ПДн ........................................................... 84
Определение актуальности угроз безопасности ПДн ........................... 108

Модель угроз безопасности ПДн, обрабатываемых в ИСПДн «1С:

Зарплата и кадры 8.3», «1C. Бухгалтерия 8.3», «1С: Зарплата и кадры

7.7», «1C. Бухгалтерия 7.7» .............................................................................. 113

Уровень исходной защищённости ИСПДн ............................................ 113
Описание угроз безопасности ПДн ......................................................... 115
Определение актуальности угроз безопасности ПДн ........................... 140

Модель угроз безопасности ПДн, обрабатываемых в ИСПДн «Портал

ДПО», «old.dpomos.ru», «mioo.seminfo.ru», «fgos.seminfo.ru»,

«mioo.ru», «nachalka.seminfo.ru» ...................................................................... 144

Уровень исходной защищённости ИСПДн ............................................ 144
Описание угроз безопасности ПДн ......................................................... 146
Определение актуальности угроз безопасности ПДн ........................... 168

ЗАКЛЮЧЕНИЕ .................................................................................................. 173

ПРИМЕНЯЕМЫЕ СОКРАЩЕНИЯ

АРМ	Автоматизированное рабочее место
БД	База данных
БЦ	Бизнес-центр
ДМС	Добровольное медицинское страхование
ИБ	Информационная безопасность
ИНН	Идентификационный номер налогоплательщика
Институт	Государственное автономное образовательное учреждение высшего образования города Москвы «Московский институт открытого образования»
ИТ	Информационные технологии
ИС	Информационная система
НДФЛ	Налог на доходы физических лиц
ОС	Операционная система
ПДн	Персональные данные
ПО	Программное обеспечение
ППО	Прикладное программное обеспечение
ПФР	Пенсионный фонд Российской Федерации
СК	Страховая компания
СКУД	Система контроля и управления доступом
СНИЛС	Страховой номер индивидуального лицевого счета
СУБД	Система управления базами данных
ФЗ	Федеральный закон
ФИ	Фамилия, имя
ФИО	Фамилия, имя, отчество
ФНС	Федеральная налоговая служба
ФСС	Фонд социального страхования
ФСТЭК	Федеральная служба по техническому и экспортному контролю
ЦОД	Центр обработки данных
ЧОП	Частное охранное предприятие
ЭЦП	Электронно-цифровая подпись

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящий документ разработан в соответствии с требованием п. 7 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119.

Определение нарушителей и угроз безопасности персональных данных при их обработке и последующее формирование на их основе модели угроз и нарушителей является одним из необходимых мероприятий по обеспечению безопасности ПДн в информационных системах.

Выявление и учет угроз безопасности ПДн в конкретных условиях составляют основу для планирования и осуществления мероприятий, направленных на обеспечение безопасности ПДн при их обработке в информационных системах ПДн.

Настоящая Модель угроз и нарушителей учитывает требования следующих законодательных актов и нормативно-методических документов:

Федеральный закон №152-ФЗ от 27 июля 2006 года «О персональных данных»;
постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК Российской Федерации № 21 от 18.02.2013 «Состав и содержание технических и организационных мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Выписка ФСТЭК Российской Федерации 15.02.2008 «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных»;
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена зам. директора ФСТЭК России 14.02.2008;
Приказ ФСБ Российской Федерации от 09.02.2005 №66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации» (Положение ПКЗ-2005).

2. ОСНОВНЫЕ ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПДН В ИСПДН

2.1. Типы угроз безопасности ПДн

Угрозы безопасности ПДн классифицируются по типу используемой уязвимости ИСПДн. Выделяются следующие типы угроз:

угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном программном обеспечении, используемом в ИСПДн (угрозы 1-го типа);
угрозы, связанные с наличием недокументированных (не декларированных) возможностей в прикладном программном обеспечении, используемом в ИСПДн (угрозы 2-го типа);
угрозы, не связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн (угрозы 3-го типа).

2.2. Угрозы утечки информации по техническим каналам

При обработке ПДн в ИСПДн возможно возникновение угроз безопасности ПДн за счет реализации следующих технических каналов утечки информации:

Угрозы утечки акустической (речевой) информации.
Угрозы утечки видовой информации.
Угрозы утечки информации по каналам ПЭМИН.

2.2.1. Угрозы утечки акустической (речевой) информации

Возникновение угроз утечки акустической (речевой) информации, содержащейся непосредственно в произносимой речи пользователя ИСПДн, при обработке ПДн в ИСПДн, возможно при наличии функций голосового ввода ПДн в ИСПДн или функций воспроизведения ПДн акустическими средствами ИСПДн.

Утечка акустической (речевой) информации может быть осуществлена:

-- с помощью аппаратных закладок;

-- за счет съема виброакустических сигналов;

-- за счет излучений, модулированных акустическим сигналом (микрофонный эффект и ВЧ облучение);

-- за счет оптического излучения, модулированного акустическим сигналом.

2.2.2. Угрозы утечки видовой информации

Угрозы утечки видовой информации реализуются за счет просмотра ПДн с помощью оптических (оптикоэлектронных) средств с экранов дисплеев и других средств отображения средств вычислительной техники, информационновычислительных комплексов, технических средств обработки графической, видео - и буквенно-цифровой информации, входящих в состав ИСПДн.

Кроме этого, просмотр (регистрация) ПДн возможен с использованием специальных электронных устройств съема, внедренных в служебных помещениях или скрытно используемых физическими лицами при посещении ими служебных помещений.

Необходимым условием осуществления просмотра (регистрации) ПДн является наличие прямой видимости между средством наблюдения и носителем ПДн.

Утечка видовой информации может быть осуществлена:

-- за счет удаленного просмотра экранов дисплеев и других средств отображения информации,

-- с помощью видео аппаратных закладок.

2.2.3. Угрозы утечки информации по каналам ПЭМИН

Возникновение угрозы ПДн по каналам ПЭМИН возможно за счет перехвата техническими средствами побочных (не связанных с прямым функциональным значением элементов ИСПДн) информативных электромагнитных полей и электрических сигналов, возникающих при обработке ПДн техническими средствами ИСПДн.

Генерация информации, содержащей ПДн и циркулирующей в технических средствах ИСПДн в виде электрических информативных сигналов, обработка и передача указанных сигналов в электрических цепях технических средств ИСПДн сопровождается побочными электромагнитными излучениями, которые могут распространяться за пределы служебных помещений в зависимости от мощности излучений и размеров ИСПДн.