Модель угроз (см. таблицу 1) содержит единые исходные данные по актуальным угрозам безопасности конфиденциальной информации для системы Росстата, связанным с несанкционированным, в том числе случайным, доступом с целью ознакомления, изменения, копирования, неправомерного распространения конфиденциальной информации или деструктивных воздействий на элементы ИВС Росстата и обрабатываемых в ней данных с целью уничтожения или блокирования основных уровней информационной инфраструктуры, на которых возможна реализация угроз безопасности:
- физический уровень;
- сетевой уровень;
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень технологических процессов и приложений Росстата.
Таблица 1: Модель угроз ИВС Росстата
Нарушитель - это лицо, которое предприняло попытку выполнения запрещенных действий по ошибке, незнанию или осознанно со злым умыслом или без такового и использующее для этого различные возможности, методы и средства.
По отношению к Росстату потенциальных нарушителей информационной безопасности можно условно разделить на внутренних и внешних.
К внутренним нарушителям относятся:
· сотрудники системы Росстата, действующие в рамках предоставленных полномочий;
· сотрудники системы Росстата, действующие вне рамок предоставленных полномочий.
К внешним нарушителям относятся:
· компьютерные злоумышленники, осуществляющие целенаправленное деструктивное воздействие;
· поставщики программно-технических средств, расходных материалов, услуг и т.п. и подрядчики, осуществляющие монтаж, пуско-наладочные работы оборудования и его ремонт.
Компетентность и техническая подготовка возможных нарушителей может быть самой различной от низкой квалификации до специалистов уровня программистов и системных администраторов.
Возможные варианты действий внутренних нарушителей режима информационной безопасности:
· непроизводственная активность сотрудников Росстата (пользователей), которая может выражаться в нецелевом использовании ресурсов Интернета и электронной почты, в самостоятельной установке и использовании неразрешенного программного обеспечения. Эти действия могут стать причиной и способствовать распространению компьютерных вирусов и вредоносных программ, что, в свою очередь, может привести к потере данных на рабочих станциях и серверах организации, несанкционированному доступу посторонних лиц к конфиденциальной информации;
· вход легального пользователя в компьютерную сеть с реквизитами другого пользователя может использоваться для выполнения запрещенных действий в ИВС Росстата или способствовать хищению информации;
· установка на компьютер, подключенный к ИВС Росстата, специального программного обеспечения позволяющего проводить исследование трафика сети и/или осуществлять атаки на ресурсы сети;
· нерегламентированное использование компьютеров сотрудниками Росстат, по роду своей деятельности, не имеющими доступа к ресурсам сети;
· несанкционированное копирование конфиденциальной информации;
· уничтожение информации на серверах и рабочих станциях;
· внесение нерегламентированных изменений в данные и программное обеспечение;
· кража носителей конфиденциальной информации;
· кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.
· Возможные варианты действия внешних нарушителей режима информационной безопасности:
· атака на сервисы удаленного доступа и публичные Интернет - сервисы Росстата с целью захвата управления сервисом, получения полномочий администратора, доступа в ИВС Росстата;
· заражение клиентской рабочей станции компьютерным вирусом или другой вредоносной программой через сообщения электронной почты;
· несанкционированное копирование конфиденциальной информации;
· уничтожение информации на серверах и рабочих станциях;
· внесение нерегламентированных изменений в данные и программное обеспечение;
· кража носителей конфиденциальной информации;
· кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.
Возможности утечки информации по техническим каналам
В ИВС Росстата существует возможность утечки информации по следующим техническим каналам:
· побочные электромагнитные излучения информативного сигнала от технических средств;
· наводки информативного сигнала;
· радиоизлучение;
· электрические сигналы или радиоизлучения, обусловленные воздействием на АС высокочастотных сигналов, по эфиру и проводам, либо сигналов промышленных радиотехнических устройств (радиовещательные, радиолокационные станции, средства радиосвязи и т.п.), и модуляцией их информативным сигналом (облучение, «навязывание»);
· радиоизлучения или электрические сигналы от внедренных специальных электронных устройств перехвата информации;
· акустическое излучение информативного речевого сигнала;
· просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
· воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации.
Защита от утечки по перечисленным техническим каналам осуществляется организационными и техническими мерами. Решение о необходимости принятия мер принимается после проведения специальных исследований, а также на основе анализа соотношения критичности информации и стоимости средств.
Основные положения обеспечения информационной безопасности
Организация обеспечения информационной безопасности
Для реализации единой политики защиты информации в Росстате создана базовая структура управления информационной безопасностью – отдел защиты информации, которому делегированы функции разработки, внедрения, координации и контроля организационных и технических мероприятий комплексной защиты информации в системе Росстата. Для реализации требований информационной безопасности Росстата в территориальных органах назначаются специалисты по защите информации.
В Росстате поддерживается безопасность информации посредством управленческих процессов и утверждения обязанностей по обеспечению информационной безопасности. При этом должно быть обеспечено:
· подтверждение того, что цели информационной безопасности установлены, соответствуют организационным требованиям и включены в соответствующие процессы деятельности Росстата;
· контроль эффективности мер безопасности информации;
· четкое руководство и управленческая поддержка инициатив по безопасности;
· наличие ресурсов, необходимых для успешной организации информационной безопасности;
· назначение конкретных ролей и обязанностей по информационной безопасности в системе Росстата;
· инициирование планов и программ поддержания осведомленности сотрудников по информационной безопасности;
· координация внедрения средств управления информационной безопасностью в системе Росстата.
Представителям подразделений Росстата с соответствующими ролями и рабочими функциями следует координировать деятельность по обеспечению защиты информации в пределах своей ответственности.
Координация обеспечения информационной безопасности должна включать взаимодействие и сотрудничество руководства, пользователей, администраторов, разработчиков приложений. В процессе данной деятельности необходимо:
· убедиться, что меры безопасности выполняются в соответствии с требованиями руководящих документов;
· утверждать методологии и процессы организации информационной безопасности;
· определять значимые изменения угроз и моменты, когда информация и средства ее обработки подвергаются угрозам;
· эффективно поддерживать в масштабах Росстата обучение и осведомленность в области информационной безопасности;
· оценивать информацию, полученную в результате отслеживания и обработки инцидентов безопасности, а также рекомендовать приемлемые меры в ответ на установленные инциденты информационной безопасности.
Все обязанности по обеспечению информационной безопасности следует определить исходя из функциональных обязанностей сотрудников.
При внедрении новых программных средств обработки информации в Росстате необходимо определить процедуру их санкционирования.
В процедуре санкционирования должно быть обеспечено:
· согласование с руководителем пользователя и с руководителем, ответственным за информационную безопасность ЛВС;
· проверка совместимости с аппаратным и программным обеспечением компонентов системы.
Необходимо провести пересмотр обязательств о соблюдении требований конфиденциальности сотрудниками Росстата, отражающим требования защиты информации.
Обязательство о соблюдении конфиденциальности должно включать следующие элементы:
· определение защищаемой информации;
· срок действия соглашения;
· ответственность лиц, подписывающих соглашение;
· права на использование конфиденциальной информации для лица, подписывающего обязательство;
· порядок оповещения и отчета о несанкционированных разглашениях или нарушениях конфиденциальности;
· меры в случае нарушения соглашения.
Требования к обязательствам о соблюдении конфиденциальности и неразглашении следует периодически пересматривать и в случае необходимости вносить изменения.