Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил преподаватель: Шампанер Г.М
Основными элементами ИСПДн являются: персональные данные, содержащиеся в базах данных колледжа, как совокупность информации и ее источников, используемых в ИСПДн; информационные технологии, как совокупность приемов, способов и методов применения средств вычислительной техники при обработке ПДн; технические средства, осуществляющие обработку ПДн программные средства (операционные системы, системы управления базами данных колледжа и т.п.); средства защиты информации; вспомогательные технические средства и системы
По видам возможных источников УБПДн в ИСПДн выделяются следующие классы угроз: угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющими доступ к ИСПДн колледжа, включая пользователей ИСПДн, реализующие угрозы непосредственно в ИСПДн колледжа (внутренний нарушитель); угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн колледжа, реализующие угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).
По виду несанкционированных действий, осуществляемых с ПДн, выделяются следующие классы угроз: угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации; угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение; угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн колледжа, в результате которого осуществляется блокирование ПДн.
При обработке ПДн в ИСПДн возможно возникновение УБПДн за счет реализации следующих технических каналов утечки информации: угрозы утечки акустической (речевой) информации; угрозы утечки видовой информации; угрозы утечки информации по каналам ПЭМИН.
Угрозы несанкционированного доступа к информации, обрабатываемой в ИСПДн Угрозы НСД в ИСПДн МГТУ им. Н.Э. Баумана с применением программных и программно-аппаратных средств реализуются при осуществлении несанкционированного, в том числе случайного доступа, в результате которого осуществляется нарушение конфиденциальности (копирования, несанкционированного распространения), целостности (уничтожения, изменения) и доступности (блокирования) ПДн, и включают в себя: угрозы доступа (проникновения) в операционную среду компьютера с использованием штатного программного обеспечения (средств операционной системы или прикладных программ общего применения); угрозы создания нештатных режимов работы программных (программно- аппаратных) средств за счет преднамеренных изменений служебных данных, игнорирования предусмотренных в штатных условиях ограничений на состав и характеристики обрабатываемой информации, искажения (модификации) самих данных и т.п.; угрозы внедрения вредоносных программ (программно-математического воздействия).
реализации программного обеспечения Недостатки механизмов аутентификации Недостатки защиты учетных записей Наличие функций, позволяющих выполнять деструктивные действия Уязвимости, используемые для переполнения буфера Уязвимости, используемые для подбора пароля или идентификатора Уязвимости, используемые для изменения прав доступа Уязвимости, используемые для реализации атаки «Отказ в обслуживании» Отсутствие проверки корректности входных данных инсталляции и настройки программного обеспечения Уязвимости, возникающие на этапе проектирования программного обеспечения Системное ПО Прикладное программное обеспечение Классификация уязвимостей программного обеспечения По этапу жизненного цикла программного обеспечения, на котором возникает уязвимость По причине возникновения уязвимости По характеру последствий от реализации атак По типу ПО
Общая характеристика уязвимостей системного программного обеспечения Уязвимости системного программного обеспечения необходимо рассматривать с привязкой к архитектуре построения вычислительных систем Университета. При этом возможны уязвимости: в микропрограммах, в прошивках ПЗУ, ППЗУ; в средствах операционной системы, предназначенных для управления локальными ресурсами ИСПДн (обеспечивающих выполнение функций управления процессами, памятью, устройствами ввода/вывода, интерфейсом с пользователем и т.п.), драйверах, утилитах; в средствах операционной системы, предназначенных для выполнения вспомогательных функций, – утилитах (архивирования, дефрагментации и др.), системных обрабатывающих программах (компиляторах, компоновщиках, отладчиках и т.п.), программах предоставления пользователю дополнительных услуг (специальных вариантах интерфейса, калькуляторах, играх и т.п.), библиотеках процедур различного назначения (библиотеках математических функций, функций ввода/вывода и т.д.); в средствах коммуникационного взаимодействия (сетевых средствах) операционной системы.
Уязвимости в микропрограммах и в средствах операционной системы, предназначенных для управления локальными ресурсами и вспомогательными функциями, могут представлять собой: функции, процедуры, изменение параметров которых определенным образом позволяет использовать их для несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др.; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации.
Общая характеристика уязвимостей прикладного программного обеспечения К прикладному программному обеспечению относятся прикладные программы общего пользования и специальные прикладные программы. Прикладные программы общего пользования – текстовые и графические редакторы, медиа-программы (аудио- и видеопроигрыватели, программные средства приема телевизионных программ и т.п.), системы управления базами данных, программные платформы общего пользования для разработки программных продуктов (типа Delphi, Visual Basic), средства защиты информации общего пользования и т.п. Специальные прикладные программы – это программы, которые разрабатываются в интересах решения конкретных прикладных задач в данной ИСПДн (в том числе программные средства защиты информации, разработанные для конкретной ИСПДн).
Уязвимости прикладного программного обеспечения могут представлять собой: функции и процедуры, относящиеся к разным прикладным программам и несовместимые между собой (не функционирующие в одной операционной среде) из-за конфликтов, связанных с распределением ресурсов системы; функции, процедуры, изменение определенным образом параметров которых позволяет использовать их для проникновения в операционную среду ИСПДн и вызова штатных функций операционной системы, выполнения несанкционированного доступа без обнаружения таких изменений операционной системой; фрагменты кода программ («дыры», «люки»), введенные разработчиком, позволяющие обходить процедуры идентификации, аутентификации, проверки целостности и др., предусмотренные в операционной системе; отсутствие необходимых средств защиты (аутентификации, проверки целостности, проверки форматов сообщений, блокирования несанкционированно модифицированных функций и т.п.); ошибки в программах (в объявлении переменных, функций и процедур, в кодах программ), которые при определенных условиях (например, при выполнении логических переходов) приводят к сбоям, в том числе к сбоям функционирования средств и систем защиты информации, к возможности несанкционированного доступа к информации.