Файл: Утверждаю главный врач Наименование организации фио руководителя 2023 г. М. П. Модель угроз безопасности информации.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 235
Скачиваний: 18
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
| УТВЕРЖДАЮ |
| Главный врач _________________________ Наименование организации |
| _________________________ ФИО руководителя |
| «___» ______________ 2023 г. М.П. |
Модель угроз безопасности информации
«Аппарат ИВЛ ___________»
1. Общие положения
1.1. Введение
1.1.1. Настоящая модель угроз безопасности информации (далее – Модель угроз) содержит результаты оценки угроз безопасности информации.
1.1.2. Оценка угроз проводится в целях определения угроз безопасности информации, реализация (возникновение) которых возможна в «Аппарат ИВЛ ___________» (с учетом архитектуры и условий его функционирования) и может привести к нарушению безопасности обрабатываемой информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования актуальных угроз безопасности информации.
1.1.3. В соответствии с Приказом ФСТЭК от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» настоящая Модель угроз подлежит использованию при формировании требований к системе защиты ЗОКИИ.
1.2. Источники разработки
1.2.1. Настоящая Модель угроз сформирована в соответствии с методическими документами ФСТЭК России и ФСБ России с учетом следующих принципов:
– в случае обеспечения безопасности информации без использования СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России;
– в случае определения ГБУЗ НСО «Медицинский информационно-аналитический центр» необходимости обеспечения безопасности информации с использованием СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России и ФСБ России.
1.2.2. Перечень нормативных правовых актов, методических документов и национальных стандартов, используемый для оценки угроз безопасности информации и разработки Модели угроз, представлен в Приложении № 1.
1.3. Оцениваемые угрозы
1.3.1. Модель угроз содержит результаты оценки антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, и техногенных источников угроз.
1.4. Ответственность за обеспечение защиты информации (безопасности)
1.4.1. Ответственными за обеспечение безопасности объекта КИИ приказом Директора ГБУЗ НСО «Медицинский информационно-аналитический центр» назначен начальник отдела развития инфраструктуры и информационной безопасности.
1.5. Особенности пересмотра Модели угроз
1.5.1. Настоящая Модель угроз может быть пересмотрена:
– по решению ГБУЗ НСО «Медицинский информационно-аналитический центр» на основе периодически проводимых анализа и оценки угроз безопасности защищаемой информации с учетом особенностей и (или) изменений Аппарата ИВЛ Monnal T60;
– в случае возникновения (обнаружения) новых уязвимостей и угроз безопасности информации;
– в случае изменения федерального законодательства в части оценки угроз безопасности информации;
– в случае появления новых угроз в используемых источниках данных об угрозах безопасности информации;
– в случае изменения структурно-функциональных характеристик, применяемых информационных технологий или особенностей функционирования Аппарата ИВЛ Monnal T60;
– в случае появления сведений и (или) фактов о новых возможностях потенциальных нарушителей;
– в случаях выявления инцидентов информационной безопасности в Аппарате ИВЛ Monnal T60 и (или) взаимодействующих (смежных) системах.
-
ОПИСАНИЕ СИСТЕМ И СЕТЕЙ И ИХ ХАРАКТЕРИСТИКА КАК
ОБЪЕКТОВ ЗАЩИТЫ
2.1. Общее описание объекта оценки угроз
2.1.1. Настоящая Модель угроз разработана в отношении Аппарата ИВЛ Monnal T60.
2.1.2. Основные характеристики Аппарата ИВЛ Monnal T60:
Аппарат искусственной вентиляции легких Monnal T60 – это специализированный прибор, предназначающийся для респираторной терапии. Он целиком отвечает предъявляемым к стационарным респираторам самого высокого класса требованиям. Прибором можно осуществлять несколько видов синхронизированной вентиляции, а также иных процедур:
-
вспомогательную вентиляцию; -
ИВЛ с возможностью контролировать давление и объём; -
создавать лечебный ПДКВ; -
измерять инспираторное давление и доставленный объем; -
контролировать респираторную механику и состав дыхательной смеси.
2.1.3. Основные процессы (бизнес-процессы), для обеспечения которых создан Аппарат ИВЛ Monnal T60:
– Принудительного проведения дыхательного процесса при его недостаточности или невозможности естественным путем.
2.2. Состав и архитектура объекта оценки
2.2.1. Аппарат ИВЛ Monnal T60 представляет собой автоматизированную систему управления (персонал, автоматизированное рабочее место, сам аппарат ИВЛ, территориально размещенных в пределах одного здания и объединенных в единую систему) со следующими характеристиками:
2.2.2.1. Подключение к сетям электросвязи, включенным в состав единой сети
электросвязи Российской Федерации – присутствует (ПОА Ростелеком, тип доступа проводной).
2.2.2.2. Подключение к информационно-телекоммуникационным сетям иных
организаций – отсутствует.
2.2.2.3. В Аппарате ИВЛ Monnal T60 не осуществляется взаимодействие с системами и сетями других организаций.
2.2.3. Аппарате ИВЛ Monnal T60 функционирует на базе инфраструктуры ГБУЗ НСО «Медицинский информационно-аналитический центр».
3. ВОЗМОЖНЫЕ НЕГАТИВНЫЕ ПОСЛЕДСТВИЯ ОТ РЕАЛИЗАЦИИ
(ВОЗНИКНОВЕНИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
3.1. В ходе оценки угроз безопасности информации определяются негативные последствия, которые могут наступить от реализации (возникновения) угроз безопасности информации.
3.2. Негативные последствия определяются применительно к нарушению основных (критических) процессов (бизнес-процессов), выполнение которых обеспечивает Аппарат ИВЛ Monnal T60, и применительно к нарушению безопасности информации, содержащейся в Аппарат ИВЛ Monnal T60.
3.3. На основе анализа исходных данных Аппаратf ИВЛ Monnal T60 определены негативные последствия, которые приводят к видам рисков (ущерба), представленные в таблице Б.1.
Таблица Б.1 – Виды рисков (ущерба) и негативные последствия
| Идентификатор | Негативные последствия | Вид риска (ущерба) |
| НП.1 | Угроза жизни или здоровью | У.1 Ущерб физическому лицу |
| НП.2 | Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса | У.2 Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.3 | Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств) | У.2 Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
| НП.4 | Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) | У.2 Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
4. ВОЗМОЖНЫЕ ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
4.1. В ходе оценки угроз безопасности информации определяются информационные ресурсы и компоненты Аппарата ИВЛ Monnal T60, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям, определенным в разделе 4 настоящей Модели угроз, – объектов воздействия.
4.2. Объекты воздействия определялись для реальной архитектуры и условий функционирования Аппарата ИВЛ Monnal T60 на основе анализа исходных данных и проведенной инвентаризации.
4.3. Определение объектов воздействия производилось на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей.
4.4. В отношении каждого объекта воздействия определялись виды воздействия на него, которые могут привести к негативным последствиям. Рассматриваемые виды воздействия представлены в таблице Б.2.
Таблица Б.2 – Виды воздействия
| Идентификатор | Вид воздействия |
| ВВ.1 | Несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным |
| ВВ.2 | Отказ в обслуживании компонентов (нарушение доступности) |
| ВВ.3 | Несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) |
| ВВ.4 | Нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации |
4.5. Итоговый перечень объектов воздействия со списком возможных видов воздействия на них, реализация которых может привести к негативным последствиям, представлен в таблице Б.3.
Таблица Б.3 – Объекты воздействия и виды воздействия
| Негативные последствия | Объекты воздействия | Виды воздействия |
| Угроза жизни или здоровью | Программные средства | ВВ.2, ВВ.3 |
| Программно-аппаратные средства обработки и хранения информации | ВВ.2, ВВ.4 | |
| Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса | Программные средства Программно-аппаратные средства обработки и хранения информации | ВВ.2, ВВ.3, ВВ.4 ВВ.2, ВВ.3, ВВ.4 |
| Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств) | Программные средства | ВВ.3, ВВ.4 |
| Программно-аппаратные средства обработки и хранения информации | ВВ.3, ВВ.4 | |
| Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций) | Программные средства | ВВ.2 |
-
ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
5.1. Антропогенные источники
5.1.1. В ходе оценки угроз безопасности информации определяются возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие(ая) реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты Аппарата ИВЛ Monnal T60, – актуальные нарушители.
5.1.2. Процесс определения актуальных нарушителей включал:
5.1.2.1. Формирование перечня рассматриваемых видов нарушителей и их возможных целей по реализации угроз безопасности информации и предположений об их отнесении к числу возможных нарушителей (нарушителей, подлежащих дальнейшей оценке), представленных в таблице Б.4.
Таблица Б.4 – Перечень рассматриваемых нарушителей
| № п/п | Вид нарушителя | Возможные цели реализации угроз безопасности информации | Предположения об отнесении к числу возможных нарушителей |
| 1 | Специальные службы иностранных государств | Нанесение ущерба государству в области обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики; Дискредитация деятельности отдельных органов государственной власти, организаций; Получение конкурентных преимуществ на уровне государства; Срыв заключения международных договоров; Создание внутриполитического кризиса | Цели не предполагают потенциальное наличие нарушителя |
| 2 | Террористические, экстремистские группировки | Совершение террористических актов, угроза жизни граждан; Нанесение ущерба отдельным сферам деятельности или секторам экономики государства; Дестабилизация общества; Дестабилизация деятельности органов государственной власти, организаций | Цели не предполагают потенциальное наличие нарушителя |
| 3 | Преступные группы (криминальные структуры) | Получение финансовой или иной материальной выгоды; Желание самореализации (подтверждение статуса) | Цели не предполагают потенциальное наличие нарушителя |
| 4 | Отдельные физические лица (хакеры) | Получение финансовой или иной материальной выгоды; Любопытство или желание самореализации (подтверждение статуса) | Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя |
| 5 | Конкурирующие организации | Получение финансовой или иной материальной выгоды; Получение конкурентных преимуществ | Цели не предполагают потенциальное наличие нарушителя |
| 6 | Разработчики программных, программно-аппаратных средств | Получение финансовой или иной материальной выгоды; Получение конкурентных преимуществ; Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки; Непреднамеренные, неосторожные или неквалифицированные действия | Цели не предполагают потенциальное наличие нарушителя |
| 7 | Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем | Получение финансовой или иной материальной выгоды; Получение конкурентных преимуществ; Непреднамеренные, неосторожные или неквалифицированные действия | Цели не предполагают потенциальное наличие нарушителя |
| 8 | Поставщики вычислительных услуг, услуг связи | Получение финансовой или иной материальной выгоды; Получение конкурентных преимуществ; Непреднамеренные, неосторожные или неквалифицированные действия | Цели не предполагают потенциальное наличие нарушителя |
| 9 | Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ | Получение финансовой или иной материальной выгоды; Получение конкурентных преимуществ; Непреднамеренные, неосторожные или неквалифицированные действия | Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя |
| 10 | Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора | Получение финансовой или иной материальной выгоды; Непреднамеренные, неосторожные или неквалифицированные действия | Цели не предполагают потенциальное наличие нарушителя |
| 11 | Авторизованные пользователи систем и сетей | Получение финансовой или иной материальной выгоды; Любопытство или желание самореализации (подтверждение статуса); Непреднамеренные, неосторожные или неквалифицированные действия; Месть за ранее совершенные действия | Цели не предполагают потенциальное наличие нарушителя |
| 12 | Системные администраторы и администраторы безопасности | Получение финансовой или иной материальной выгоды; Любопытство или желание самореализации (подтверждение статуса); Непреднамеренные, неосторожные или неквалифицированные действия; Месть за ранее совершенные действия | Цели не предполагают потенциальное наличие нарушителя |
| 13 | Бывшие (уволенные) работники (пользователи) | Получение финансовой или иной материальной выгоды; Месть за ранее совершенные действия | Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя |