Общие положения
Данная работа описывает возможные угрозы безопасности, которым подвержена рассматриваемая организация, оказывающая государственные услуги в области социального обеспечения. Работа разработана на основании требований Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», приказа от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайную содержащейся в государственных информационных системах», а так же приказа от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Модель угроз позволяет определить основные исходные положения для разработки и задания требований по защите информации в организации.
Разработка Модели произведена на основании анализа исходных данных по объекту информатизации, законодательства Российской Федерации, нормативных и правовых документов органов исполнительной власти с учетом требований по безопасности, предъявляемым к автоматизированным системам, обрабатывающим информацию ограниченного доступа, содержащую, в том числе, персональные данные.
Модель угроз разработана на основе методических документов ФСТЭК России:
– Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15 февраля 2008 г.
– Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14 февраля 2008 г.
В результате разработки настоящей Модели угроз определен перечень актуальных угроз безопасности ПДн, то есть тех угроз, которые могут быть реализованы в ИСПДн и представляют опасность для субъектов ПДн. Разработка СЗПДн должна осуществляться на основе полученного перечня актуальных угроз безопасности ПДн. Внедренная СЗПДн должна обеспечивать нейтрализацию этих угроз с использованием методов и способов защиты ПДн, определенных в приказе от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», а также других нормативных документах регуляторов.
Модель угроз, учитывая особенности организации и используемые в ней технические средства и технологические процессы обработки информации, позволяет определить конкретные условия эксплуатации, защищаемые информационные ресурсы, дать описания угроз безопасности, которым подвержена система.
Работа содержит систематизированный перечень угроз безопасности персональных данных (УБПДн) при их обработке в информационных системах персональных данных в организации.
Модель угроз применяется при решении следующих задач:
– выбора методов и способов защиты информации в информационной системе;
– определения уровня защищенности ПД при их обработке в ИСПДн.;
– разработки системы защиты ПДн, обеспечивающей нейтрализацию угроз с использованием методов и способов защиты ПДн;
– проведения мероприятий, направленных на предотвращение несанкционированного доступа (НСД) к ПДн и (или) передачи их лицам, не имеющим права доступа к такой информации;
– недопущения воздействия на технические средства ИСПДн, в результате которого может быть нарушено их функционирование;
– контроля над обеспечением уровня защищенности персональных данных.
При повседневном режиме электроснабжения системы охранной и пожарной сигнализации должны функционировать круглосуточно (непрерывно).
Устанавливаемое оборудование и сети систем должны быть безопасны при эксплуатации для лиц, соблюдающих правила обращения с ними.
На территории объектов защиты ПФР разрешается установка только безвредных для здоровья лиц, имеющих доступ на территорию объекта, устройств.
Система видеонаблюдения.
Для контроля за обстановкой вокруг здания по его периметру устанавливаются наружные стационарные видеокамеры. На входе в здание устанавливаются внутренние видеокамеры с возможностью контроля поста охраны. Внутренние видеокамеры устанавливаются также в клиентских службах.
Средствами системы должна обеспечиваться передача видеоинформации на мониторы, устанавливаемые на посту охраны.
С целью обеспечения возможности расследования конфликтных ситуаций должно обеспечиваться хранение видеоинформации в течение 20 дней. Должна быть исключена возможность стирания, либо модификации информации сотрудниками охраны здания.
Система разграничения и контроля доступа.
Средствами системы контроля и разграничения доступа оборудуются двери защищаемых помещений (серверные, архивы, спецчасти, аппаратные, помещения подразделений по защите информации, бухгалтерия, кассы, а также другие помещения, где должно быть исключено несанкционированное пребывание посторонних лиц), которые должны быть постоянно закрытыми и запертыми.
Открывание замка для входа в указанные помещения обеспечивается дистанционными считывателями смарт-карт. Отпирание замка для выхода из помещения осуществляется нажатием специальной кнопки. Возможна установка дистанционных считывателей на входные двери на этаж.
Оборудование системы контроля и разграничения доступа должно обеспечивать централизованное фиксирование событий в защищаемых помещениях.
К работе с защищаемым ресурсом допускается только определенный круг пользователей.
Идентификация пользователя производится присвоением ему Имени_Пользователя – уникальной символьной последовательности.
Аутентификация пользователя производится посредством сравнения предъявляемого им аутентификатора с аутентификатором, поставленным в однозначное соответствие предъявленному идентификатору (Имени_Пользователя).
В качестве аутентификатора пользователя АИС ПФР используется пароль (кодовое слово), сертификат или биометрические данные, которые вводятся в ПК с клавиатуры, при помощи специального устройства аутентификации по биометрическим данным или считываются из индивидуального аутентификатора.
Аутентификация пользователя АИС ПФР выполняется при:
включении ПК;
входе в систему;
входе в сеть;
обращении к ресурсам.
Авторизация пользователей производится при положительном результате аутентификации.
Смена аутентификаторов, вводимых с клавиатуры, выполняется не реже, чем через 90 суток. Смена аутентификаторов, доведение которых до пользователей, хранение и предъявление системе аутентификации осуществляется посредством устройств аутентификации индивидуального пользования, производится не реже, чем один раз в год.
Срок действия назначаемых (присваиваемых) аутентификаторов, а также порядок их смены определяется в отделении ПФР «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …».
Технические мероприятия авторизации пользователей обеспечиваются выполнением следующих организационных мероприятий:
актуализация перечня защищаемых информационных ресурсов;
актуализация документов по допуску и обеспечению соответствующего доступа пользователей к защищаемым ресурсам;
распределение ответственности за выполнение мероприятий по защите информации между должностными лицами, организующими и реализующими технические мероприятия;
назначение администраторов защиты (безопасности) информации.
Указанные мероприятия должны проводиться по мере необходимости, но не реже одного раза в год. Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации пользователей регионального сегмента АИС ПФР в Отделении по …», разрабатываемого в каждом отделении ПФР. Инструкция подписывается руководителями подразделений информационных технологий и по защите информации, утверждается управляющим отделением.
Пользователям предоставляются минимально необходимые для выполнения производственных задач права доступа к информации. Ответственность за обоснованность предоставляемых пользователям прав возлагается на руководителей структурных подразделений.
Заявки на предоставление пользователям доступа к защищенным информационным ресурсам ПФР (с указанием разрешенных режимов работы и уровней доступа к защищаемым ресурсам) формируются подразделениями, осуществляющими использование ресурсов, согласовываются с владельцами ресурсов и предоставляются в подразделение по защите информации за подписью руководителя структурного подразделения.
Подразделением по защите информации на основании заявок, представленных руководителями структурных подразделений, формируется «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4).
В Исполнительной дирекции ПФР «Таблица доступа пользователей к защищаемым ресурсам» (приложение 4) утверждается заместителем Председателя Правления ПФР, в отделении ПФР – его управляющим, в ИЦПУ – директором.
В соответствии с «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3) для каждого защищаемого ресурса подразделением по защите информации формируется «Таблица доступа пользователей к информационному ресурсу» (приложение 4) с указанием идентификаторов и аутентификаторов (паролей) пользователей.
Выработка паролей и оформление парольной документации производится в отделении ПФР и осуществляется подразделением по защите информации с использованием вычислительной техники и специального программного обеспечения.
Доведение паролей, предназначенных к введению с клавиатуры, до пользователей осуществляется посредством выдачи им карточек паролей (приложение 5) под роспись в «Журнале выдачи парольной документации» (приложение 6) или с использованием соответствующих технических средств.
Подразделением по защите информации для отделения ПФР и каждого подведомственного ему территориального органа ПФР на основании утвержденной «Таблицы допуска пользователей к защищаемым ресурсам» (приложение 3) формируется пакет парольной документации с пометкой «для служебного пользования» (ДСП), в который входят следующие документы:
комплект «Таблиц доступа пользователей к информационному ресурсу» (приложение 4) с указанием срока их действия;
соответствующий комплекту «Таблиц …» комплект карточек паролей (приложение 5);
«Таблица доступа пользователей к информационному ресурсу» (приложение 4) формируется отдельно для каждого ресурса. Допускается сведение таблиц доступа к нескольким ресурсам в одну при условии установки указанных в них паролей одним лицом (администратором защиты информации).
Таблицы доступа нумеруются с использованием кода отделения ПФР, кода подведомственного органа ПФР (через косую черту), для которого она предназначены и порядкового номера таблицы в комплекте (через дефис). Например, «Таблица доступа пользователей к информационному ресурсу № 070/012 01».
В «Таблице доступа к информационному ресурсу» (приложение 4) указываются только пароли, предназначенные для замены паролей с истекающим сроком действия. В строке пользователя, применяющего для доступа к соответствующему ресурсу электронный аутентификатор, в графах 6 и 7 при отсутствии необходимости изменения пароля делается пометка о его использовании, а при необходимости замены – Имя_Пользователя и пароль.
На основании «Таблицы доступа к информационному ресурсу» (приложение 4) в соответствии с предоставленными полномочиями администратор защиты информации – с использованием специализированных или встроенных средств защиты, системный администратор или администратор приложения – с использованием встроенных средств защиты – осуществляет настройку соответствующей системы разграничения доступа (аутентификации пользователей) путем установки паролей или выработки (при необходимости) сертификатов.
Для обеспечения возможности оперативной смены пароля при его компрометации, а также в случае кадровых перестановок пользователей, в таблице паролей для каждого из защищаемых ресурсов указывается несколько резервных паролей без привязки их к конкретному пользователю. Количество резервных паролей определяется, исходя из реальных потребностей.
На случай компрометации всей парольной документации или части ее, для каждого органа ПФР разрабатывается резервный пакет парольной документации.
Резервный пакет парольной документации хранится в опечатанном конверте в отделении ПФР – в сейфе руководителя подразделения по защите информации, в подведомственных отделению территориальных органах ПФР – в сейфе (металлическом шкафу) ответственного за защиту информации (администратора защиты (безопасности) информации) территориального органа ПФР.
В случае наличия трудностей в ежеквартальной доставке пакетов парольной документации в органы ПФР в связи с их удаленностью от отделения ПФР пароли для них могут вырабатываться и высылаться на период до одного года. В этом случае таблица паролей может формироваться без указания данных пользователя – данные пользователя вписываются от руки при смене и выдаче пароля пользователю.
Парольная документация может передаваться в территориальный орган ПФР в виде электронного документа с электронной цифровой подписью в зашифрованном виде или по защищенному каналу связи.
По окончании смены паролей руководитель органа ПФР докладывает управляющему отделением ПФР.
Структура идентификаторов пользователей в АИС ПФР определяется возможностями и требованиями программного обеспечения электронных аутентификаторов и средств аутентификации применяемых операционных систем и приложений.
Пароль, вводимый с клавиатуры, должен быть уникальным в пределах одного пакета парольной документации и не должен нести никакой смысловой нагрузки. Не допускается использование паролей длиной менее 4-х символов или состоящих из одинаковых символов.
При использовании для генерации паролей программного обеспечения электронных аутентификаторов структура паролей определяется его возможностями.
PIN-код электронного аутентификатора устанавливается (изменяется) его пользователем. Пользователь обязан сохранять действующий РIN-код используемого аутентификатора в тайне.
PIN-код электронного аутентификатора должен соответствовать требованиям стойкости, рекомендованным эксплуатационной документацией на устройство.
Особый порядок изменения паролей определяется для использования профайлов QSECOFR и QSECOFR(DST), предоставляющих полные права доступа ко всем ресурсам сервера iSeries (i5) и применяющихся для администрирования серверов.
В режиме повседневной работы администратор сервера работает с использованием пользовательского профайла LOCOPR (с правом наблюдения за вычислительным процессом, просмотра информационных сообщений системы и управления телекоммуникациями) без права доступа к базам данных.
Использование профайла QSECOFR разрешается при выполнении модернизации системы, профайла QSECOFR (DST) – в случаях необходимости ручной загрузки системы.
Решение о разрешении использования администратором сервера профайлов QSECOFR и QSECOFR(DST) принимается управляющим отделением ПФР (директором ИЦПУ). Заявка на использование профайлов QSECOFR и QSECOFR(DST) оформляется в письменном виде руководителем подразделения информационных технологий.
Выработка и установка паролей для профайлов QSECOFR и QSECOFR (DST) производится посредством программного комплекса учета и контроля доступа к информационным базам серверов iSeries (i5) «Астра».
Выдача карточки пароля администратору оформляется записью в «Журнале выдачи парольной документации» (приложение 6).
После окончания работ карточка пароля возвращается администратору защиты информации, под роспись в «Журнале выдачи парольной документации». Использованная карточка перечеркивается диагональным крестом и уничтожается установленным порядком.
Смена пароля профайлов QSECOFR и QSECOFR (DST) осуществляется администратором защиты информации немедленно после возвращения ему администратором сервера соответствующей карточки пароля, или по получении сообщения об окончании проведения работ с использованием профайлов QSECOFR и QSECOFR (DST) подразделением по защите информации, Замена неиспользованных паролей профайлов QSECOFR и QSECOFR (DST) производится не реже, чем через 90 суток.
При прекращении трудового договора с работником, а при необходимости и при кадровых перестановках, руководитель структурного подразделения обязан представить в орган защиты информации (администратору защиты информации) письменную заявку на внесение изменения в таблицу допуска пользователей к защищаемым ресурсам.
Карточки паролей или индивидуальные аутентификаторы увольняемых, перемещаемых в связи с изменением должностных обязанностей пользователей, а также при уходе в отпуск (длительную командировку) подлежат возвращению в подразделение по защите информации (администратору защиты информации).
Учетные записи уволенных пользователей не позднее, чем в день увольнения пользователя блокируются, а в дальнейшем из системы разграничения доступа (аутентификации) удаляются.
Внесение изменений в настройку соответствующей системы разграничения доступа (аутентификации) пользователей производится администратором защиты (безопасности) информации (системным администратором, администратором базы данных) на основании письменной резолюции руководителя органа ПФР.
Факт внесения изменений в настройку системы аутентификации фиксируется администратором защиты информации на заявке с указанием даты и времени внесения изменений и заверяется его подписью.
Заявка на внесение изменений в таблицу допуска хранится в подразделении защиты информации и подлежит уничтожению не ранее уничтожения соответствующей таблицы.
Порядок присвоения аутентификаторов (сертификатов, паролей) новым пользователям определяется управляющим отделением ПФР с учетом архитектуры вычислительных регионального сегмента АИС ПФР и особенностей применяющегося аппаратного и программного обеспечения системы аутентификации.
После окончания срока действия паролей комплект парольной документации подлежит уничтожению. Уничтожение парольной документации производится применительно к документам с пометкой «Для служебного пользования» комиссией в составе 3 х человек, назначаемой приказом руководителя органа ПФР и оформляется актом. В состав комиссии обязательно включается представитель подразделения по защите информации или администратор защиты (безопасности) информации территориального органа ПФР.
Уничтожение карточек паролей пользователей производится в 10 дневный срок с момента вывода паролей из действия. Отметка об уничтожении карточек паролей пользователей производится на обратной стороне «Таблицы доступа пользователей к информационному ресурсу» (приложение 4). Уничтожение таблиц доступа пользователей с паролями, выведенными из действия, производится в конце календарного года.
Ответственность за своевременное уничтожение выведенных из действия документов возлагается на подразделение по защите информации и администратора защиты (безопасности) информации органа ПФР.
При увольнении или кадровом перемещении специалиста подразделения по защите информации (администратора защиты (безопасности) информации органа ПФР), ответственного за выработку и установку паролей или хранение парольной документации замене подлежат все установленные им пароли и доступная ему парольная документация.
Под компрометацией аутентификатора понимается: утрата карточки паролей или электронного аутентификатора, разглашение пароля или PIN-кода электронного аутентификатора, утрата таблиц доступа пользователей (явная компрометация) или иная ситуация, которая дает основание для предположения о нарушении секретности пароля или PIN-кода устройства аутентификации (неявная компрометация).
При выявлении факта компрометации аутентификатора пользователь незамедлительно обязан: при разглашении PIN-кода электронного аутентификатора сменить PIN-код; в остальных случаях – сообщить о факте выявления непосредственному руководителю и администратору защиты информации.
В случае выявления факта компрометации аутентификатора пользователя администратор защиты информации обязан:
сообщить о факте компрометации в подразделение по защите информации и руководителю структурного подразделения;
немедленно заблокировать учетную запись пользователя, аутентификатор которого скомпрометирован.
Расследование факта компрометации проводится комиссией, назначаемой приказом руководителя органа ПФР. В состав комиссии обязательно включается специалист подразделения по защите информации или администратор защиты (безопасности) информации этого органа ПФР.
Результаты работы комиссии оформляются актом. Акт подлежит утверждению руководителем соответствующего органа ПФР. Один экземпляр акта представляется в Управление по защите информации.
Акты на уничтожение выведенных из действия парольных документов, материалы расследования фактов компрометации хранятся в подразделении по защите информации не менее 2-х лет.
Выдача пользователю нового аутентификатора производится по указанию руководителя соответствующего органа ПФР.
При компрометации парольной документации (всей или части) руководитель подразделения защиты информации обязан немедленно принять меры по замене всех паролей системы на резервные, доложить о факте компрометации паролей управляющему отделением ПФР и в Управление по защите информации.
Аутентификаторы-пароли вырабатываются подразделением защиты информации в соответствии с утвержденной «Таблицей допуска пользователей к защищаемым ресурсам» (приложение 3). При использовании индивидуальных электронных аутентификаторов разрешается выработка паролей с использованием соответствующих генераторов. Порядок применения автоматически генерируемых паролей определяется инструкцией, разрабатываемой в отделении ПФР.
Сертификаты пользователя вырабатывается в соответствии с требованиями используемой операционной системы и системы сертификации системным администратором. Запись сертификатов на электронные аутентификаторы производится администратором защиты (безопасности) информации с использованием соответствующего программного обеспечения.
Подразделением по защите информации для выработки паролей используется выделенный компьютер с соответствующим программным обеспечением и системой защиты информации или рабочее место администратора безопасности серверов iSeries (i5), осуществляющего эксплуатацию программного комплекса «Астра» (комплекса учета и контроля доступа к информационным базам этих серверов).
Средствами защиты информации выделенного компьютера должны реализовываться следующие функции:
аутентификация пользователя при включении компьютера;
проверка целостности аппаратного и программного обеспечения компьютера;
автоматическая регистрация действий пользователя в электронном журнале;
блокирование работы компьютера при фиксировании предъявления трех подряд неверных аутентификаторов.
При использовании индивидуальных электронных аутентификаторов (ключей) средства формирования паролей или сертификатов должны соответствовать требованиям технической документации на эти устройства и использующиеся операционные системы.
Порядок организации и выполнения мероприятий обеспечения авторизации пользователей в отделении ПФР определяется «Инструкцией по авторизации в Отделении по … пользователей АИС ПФР», разрабатываемой в каждом отделении ПФР. «Инструкция по авторизации в Отделении по …
сроки действия паролей и порядок их смены;
полномочия по изменению (установке) паролей;
необходимость и порядок формирования пакетов парольной документации на весь год;
особенности использования парольной документации при передаче ее в электронном виде;
требования к идентификаторам и аутентификаторам пользователей регионального сегмента АИС ПФР;
порядок использования в отделении пароля на включение компьютеров;
другие требования, учитывающие специфику отделения.
Применение в ПФР машинных носителей информации подлежит контролю. Все используемые съемные носители подлежат регистрации подразделением защиты информации или администратором защиты (безопасности) информации соответствующего территориального органа.
Применение незарегистрированных носителей информации ограниченного доступа и незарегистрированных съемных носителей информации запрещается.
Ответственность за организацию применения машинных носителей информации в органе ПФР возлагается на его руководителя.
В каждом органе ПФР приказом руководителя назначается лицо, ответственное за учет и хранение носителей информации. В отделении ПФР эти обязанности возлагаются на сотрудника подразделение по защите информации, в территориальных органах ПФР, подведомственных отделению ПФР, – на лицо, ответственное за защиту информации (администратора защиты (безопасности) информации).
На ответственного за учет и хранение носителей информации возлагаются обязанности по регистрации, хранению и выдаче носителей, ведению учетной документации и уничтожение носителей установленным порядком.
Основной учет носителей в органе ПФР независимо от их назначения производится в «Журнале учета машинных носителей информации» риложение 7).
При регистрации носителей информации ограниченного доступа в графе 5 «Журнала учета машинных носителей информации» делается пометка «конфиденциально», а при регистрации носителей ключевой (парольной) информации – «ключ».
Допускается перерегистрация носителя информации в зависимости от его назначения в другом журнале учета, предусмотренном нормативными (руководящими) документами по организации обработки информации. Отметка о перерегистрации носителя в другом журнале производится в графе 12 «Журнала учета машинных носителей информации» (приложение 7).
Все журналы учета машинных носителей информации включается в номенклатуру дел. Листы журналов нумеруются, прошиваются и опечатываются с нанесением заверяющей надписи с указанием количества листов, использованной печати и подписью лица, выполнившего регистрацию.
Журналы учета носителей могут вестись в электронном виде, при условии отнесения их к числу проектных ресурсов и обеспечения юридической значимости посредством использования электронной цифровой подписи.
Учетный номер наносится на носитель информации способом, обеспечивающим сохранность маркировки в процессе эксплуатации носителя и не приводящим носитель в негодность к использованию. Номер заверяется специальным штампом или подписью лица, ответственного за учет носителей.
Учетный номер носителя информации, используемого без картриджа, указывается на нерабочей поверхности носителя.
Учетный номер носителя информации, используемого в неразъемном картридже или в корпусе, наносится соответственно на картридж или корпус носителя.
Учетный номер на полупроводниковый носитель информации может наноситься посредством специальной наклейки.
Принятие мер по обеспечению сохранности (читаемости) учетного номера носителя информации возлагается на лицо, осуществляющее его эксплуатацию или хранение.
Учетный номер носителя имеет следующую структуру:
|