3. "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Выписка) (утв. ФСТЭК РФ 15.02.2008)
3. Классификация угроз безопасности персональных данных
3. Классификация угроз безопасности персональных данных 
Состав и содержание УБПДн определяется совокупностью условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к ПДн.
Совокупность таких условий и факторов формируется с учетом характеристик ИСПДн, свойств среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, и возможностей источников угрозы.
К характеристикам ИСПДн, обусловливающим возникновение УБПДн, можно отнести категорию и объем обрабатываемых в ИСПДн персональных данных, структуру ИСПДн, наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена, характеристики подсистемы безопасности ПДн, обрабатываемых в ИСПДн, режимы обработки персональных данных, режимы разграничения прав доступа пользователей ИСПДн, местонахождение и условия размещения технических средств ИСПДн.
Информационные системы ПДн представляют собой совокупность информационных и программно-аппаратных элементов, а также информационных технологий, применяемых при обработке ПДн.
Основными элементами ИСПДн являются:
персональные данные, содержащиеся в базах данных, как совокупность информации и ее носителей, используемых в ИСПДн;
информационные технологии, применяемые при обработке ПДн;
технические средства, осуществляющие обработку ПДн (средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн, средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации) (далее - технические средства ИСПДн);
программные средства (операционные системы, системы управления базами данных и т.п.);
средства защиты информации;
вспомогательные технические средства и системы (ВТСС) - технические средства и системы, их коммуникации, не предназначенные для обработки ПДн, но размещенные в помещениях (далее - служебные помещения), в которых расположены ИСПДн, их технические средства (различного рода телефонные средства и системы, средства вычислительной техники, средства и системы передачи данных в системе радиосвязи, средства и системы охранной и пожарной сигнализации, средства и системы оповещения и сигнализации, контрольно-измерительная аппаратура, средства и системы кондиционирования, средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электронной оргтехники, средства и системы электрочасофикации).
Свойства среды (пути) распространения информативных сигналов, содержащих защищаемую информацию, характеризуются видом физической среды, в которой распространяются ПДн, и определяются при оценке возможности реализации УБПДн.
Возможности источников УБПДн обусловлены совокупностью способов несанкционированного и (или) случайного доступа к ПДн, в результате которого возможно нарушение конфиденциальности (копирование, неправомерное распространение), целостности (уничтожение, изменение) и доступности (блокирование) ПДн.
Угроза безопасности ПДн реализуется в результате образования канала реализации УБПДн между источником угрозы и носителем (источником) ПДн, что создает условия для нарушения безопасности ПДн (несанкционированный или случайный доступ).
Основными элементами канала реализации УБПДн (рисунок 1) являются:
источник УБПДн - субъект, материальный объект или физическое явление, создающие УБПДн;
среда (путь) распространения ПДн или воздействий, в которой физическое поле, сигнал, данные или программы могут распространяться и воздействовать на защищаемые свойства (конфиденциальность, целостность, доступность) ПДн;
носитель ПДн - физическое лицо или материальный объект, в том числе физическое поле, в котором ПДн находят свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.
┌──────────────────┐ ┌───────────────────────┐ ┌──────────────────┐ │ │ │ Среда распространения │ │ │ │ Источник │ │ ПДн и воздействий │ │ │ │угроз безопасности│<───>│ Приемник │<───>│ Носитель ПДн │ │ ПДн │ │информативного сигнала │ │ │ │ │ │ Передатчик │ │ │ │ │ │воздействующего сигнала│ │ │ └──────────────────┘ └───────────────────────┘ └──────────────────┘
Рисунок 1. Обобщенная схема канала реализации угроз
безопасности персональных данных
Носители ПДн могут содержать информацию, представленную в следующих видах:
акустическая (речевая) информация (РИ), содержащаяся непосредственно в произносимой речи пользователя ИСПДн при осуществлении им функции голосового ввода ПДн в ИСПДн либо воспроизводимая акустическими средствами ИСПДн (если такие функции предусмотрены технологией обработки ПДн), а также содержащаяся в электромагнитных полях и электрических сигналах, которые возникают за счет преобразований акустической информации;
видовая информация (ВИ), представленная в виде текста и изображений различных устройств отображения информации средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав ИСПДн;
информация, обрабатываемая (циркулирующая) в ИСПДн, в виде электрических, электромагнитных, оптических сигналов;
информация, обрабатываемая в ИСПДн, представленная в виде бит, байт, файлов и других логических структур.
В целях формирования систематизированного перечня УБПДн при их обработке в ИСПДн и разработке на их основе частных моделей применительно к конкретному виду ИСПДн угрозы классифицируются в соответствии со следующими признаками (рисунок 2):
по виду защищаемой от УБПДн информации, содержащей ПДн;
по видам возможных источников УБПДн;
по типу ИСПДн, на которые направлена реализация УБПДн;
по способу реализации УБПДн;
по виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн);
по используемой уязвимости;
по объекту воздействия.
По видам возможных источников УБПДн выделяются следующие классы угроз:
угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн (внутренний нарушитель);
угрозы, связанные с преднамеренными или непреднамеренными действиями лиц, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена (внешний нарушитель).
Кроме того, угрозы могут возникать в результате внедрения аппаратных закладок и вредоносных программ.
По типу ИСПДн, на которые направлена реализация УБПДн, выделяются следующие классы угроз:
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе автономного автоматизированного рабочего места (АРМ);
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе АРМ, подключенного к сети общего пользования (к сети международного информационного обмена);
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе локальных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена);
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем без подключения к сети общего пользования (к сети международного информационного обмена);
угрозы безопасности ПДн, обрабатываемых в ИСПДн на базе распределенных информационных систем с подключением к сети общего пользования (к сети международного информационного обмена).
По способам реализации УБПДн выделяются следующие классы угроз:
угрозы, связанные с НСД к ПДн (в том числе угрозы внедрения вредоносных программ);
угрозы утечки ПДн по техническим каналам утечки информации;
угрозы специальных воздействий на ИСПДн.
По виду несанкционированных действий, осуществляемых с ПДн, выделяются следующие классы угроз:
угрозы, приводящие к нарушению конфиденциальности ПДн (копированию или несанкционированному распространению), при реализации которых не осуществляется непосредственного воздействия на содержание информации;
угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на содержание информации, в результате которого осуществляется изменение ПДн или их уничтожение;
угрозы, приводящие к несанкционированному, в том числе случайному, воздействию на программные или программно-аппаратные элементы ИСПДн, в результате которого осуществляется блокирование ПДн.
По используемой уязвимости выделяются следующие классы угроз:
угрозы, реализуемые с использованием уязвимости системного ПО;
угрозы, реализуемые с использованием уязвимости прикладного ПО;
угрозы, возникающие в результате использования уязвимости, вызванной наличием в АС аппаратной закладки;
угрозы, реализуемые с использованием уязвимостей протоколов сетевого взаимодействия и каналов передачи данных;
угрозы, возникающие в результате использования уязвимости, вызванной недостатками организации ТЗИ от НСД;
угрозы, реализуемые с использованием уязвимостей, обусловливающих наличие технических каналов утечки информации;
угрозы, реализуемые с использованием уязвимостей СЗИ.
По объекту воздействия выделяются следующие классы угроз:
угрозы безопасности ПДн, обрабатываемых на АРМ;
угрозы безопасности ПДн, обрабатываемых в выделенных средствах обработки (принтерах, плоттерах, графопостроителях, вынесенных мониторах, видеопроекторах, средствах звуковоспроизведения и т.п.);
угрозы безопасности ПДн, передаваемых по сетям связи;
угрозы прикладным программам, с помощью которых обрабатываются ПДн;
угрозы системному ПО, обеспечивающему функционирование ИСПДн.
Классификация угроз безопасности персональных данных
По виду защищаемой от УБПДн информации, содержащей ПДн
┌─────────┐ ┌─────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────┐ │Угрозы РИ│ │Угрозы ВИ│ │Угрозы информации, обрабатываемой в ТСОИ│ │Угрозы информации, обрабатываемой в АС│ └─────────┘ └─────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────┘
По видам возможных источников УБПДн
┌─────────────────────────┐ ┌──────────────────────┐ ┌────────────────────────┐
│ Создаваемые нарушителем │ │Создаваемые аппаратной│ │Создаваемые вредоносными│
│ (физическим лицом) │ │ закладкой │ │ программами │
└┬────────────────────────┘ └┬─────────────────────┘ └┬───────────────────────┘
│ ┌──────────────────────┐ │ ┌──────────────────────┐ │ ┌───────────────────────────────────────────────────────┐
├─┤Создаваемые внутренним│ ├─┤Создаваемые встроенной│ ├─┤программной закладкой, программой типа "Троянский конь"│
│ │нарушителем │ │ │закладкой │ │ └───────────────────────────────────────────────────────┘
│ └──────────────────────┘ │ └──────────────────────┘ │ ┌───────────────────────────────────────────────────────┐
│ ┌─────────────────────┐ │ ┌──────────────────────┐ ├─┤программным вирусом │
└──┤Создаваемые внешним │ └─┤Создаваемые автономной│ │ └───────────────────────────────────────────────────────┘
│нарушителем │ │закладкой │ │ ┌───────────────────────────────────────────────────────┐
└─────────────────────┘ └──────────────────────┘ ├─┤вредоносной программой, распространяющейся по сети │
│ │(сетевым червем) │
│ └───────────────────────────────────────────────────────┘
│ ┌───────────────────────────────────────────────────────┐
└─┤другими вредоносными программами, предназначенными для │
│осуществления НСД (подбора паролей, удаленного доступа │
│и др.) │
└───────────────────────────────────────────────────────┘
По виду нарушаемого свойства информации (виду несанкционированных действий, осуществляемых с ПДн)
┌────────────────────────────────────────────────────┐ ┌───────────────────────────────────┐ ┌─────────────────────────┐ │Угрозы конфиденциальности (утечки, перехвата, съема,│ │ Угрозы целостности (утраты, │ │ Угрозы доступности │ │ копирования, хищения, разглашения) информации │ │уничтожения, модификации информации│ │(блокирования) информации│ └────────────────────────────────────────────────────┘ └───────────────────────────────────┘ └─────────────────────────┘
По типу ИСПДн, на которые направлена реализация УБПДн
┌──────────────────────────────────┐ ┌────────────────────────────────────────┐ ┌──────────────────────────────────────────┐ │ Угрозы безопасности ПДн, │ │Угрозы безопасности ПДн, обрабатываемых │ │ Угрозы безопасности ПДн, обрабатываемых │ │обрабатываемых в ИСПДн на базе АРМ│ │в ИСПДн на базе локальной вычислительной│ │ в ИСПДн на базе распределенных │ │(с подключением и без подключения │ │ сети (с подключением и без подключения │ │ информационных систем(с подключением, │ │ к вычислительной сети) │ │к распределенной вычислительной сети │ │без подключения к сети общего пользования)│ └──────────────────────────────────┘ └────────────────────────────────────────┘ └──────────────────────────────────────────┘
По способам реализации УБПДн
┌──────────────────────────────┐ ┌──────────────────┐ ┌────────────────────────┐
│Угрозы специальных воздействий│ │Угрозы НСД в ИСПДн│ │Угрозы утечки информации│
│ на ИСПДн │ │ │ │ по техническим каналам │
└┬─────────────────────────────┘ └┬─────────────────┘ └─────────────┬─┬────────┘
│ ┌──────────────────────────┐ │ ┌────────────────────┐ ┌─────────────────┐ │ │ ┌────────────────┐
├──┤механического воздействия │ │ │Угрозы, реализуемые │ │ по радиоканалу ├──┤ ├──┤Угрозы утечки РИ│
│ └──────────────────────────┘ ├─┤ с применением │ └─────────────────┘ │ │ └────────────────┘
│ ┌──────────────────────────┐ │ │программных средств│ ┌─────────────────┐ │ │ ┌────────────────┐
├──┤химического воздействия │ │ │операционной системы│ │по электрическому├──┤ ├──┤Угрозы утечки ВИ│
│ └──────────────────────────┘ │ └────────────────────┘ │ каналу │ │ │ └────────────────┘
│ ┌──────────────────────────┐ │ ┌────────────────────┐ └─────────────────┘ │ │ ┌────────────────┐
├──┤акустического воздействия │ ┌─────────────────┐│ │Угрозы, реализуемые │ ┌─────────────────┐ │ │ │ Угрозы утечки │
│ └──────────────────────────┘ │ электрическими │├─┤ с применением │ │ по оптическому ├──┤ │ │ информации │
│ ┌──────────────────────────┐ ┌─┤ импульсами ││ │ специально │ │ каналу │ │ └──┤по каналам ПЭМИН│
├──┤биологического воздействия│ │ └─────────────────┘│ │ разработанного ПО │ └─────────────────┘ │ └────────────────┘
│ └──────────────────────────┘ │ ┌─────────────────┐│ └────────────────────┘ ┌─────────────────┐ │
│ ┌──────────────────────────┐ ├─┤электромагнитными││ ┌────────────────────┐ │по акустическому │ │
├──┤радиационного воздействия │ │ │ излучениями ││ │Угрозы, реализуемые │ │ (вибрационному) ├──┤
│ └──────────────────────────┘ │ └─────────────────┘└─┤ с применением │ │ каналу │ │
│ ┌──────────────────────────┐ │ ┌─────────────────┐ │вредоносных программ│ └─────────────────┘ │
├──┤термического воздействия │ ┌┴─┤ магнитным полем │ └────────────────────┘ ┌─────────────────┐ │
│ └──────────────────────────┘ │ └─────────────────┘ │ по смешанным │ │
│ ┌──────────────────────────┐ │ │(параметрическим)├──┘
└──┤электромагнитного ├─┘ │ каналам │
│воздействия │ └─────────────────┘
└──────────────────────────┘
По используемой уязвимости
┌────────────────┐ ┌────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐ ┌───────────────────┐ ┌────────────────┐ │С использованием│ │С использованием│ │С использованием│ │С использованием │ │С использованием│ │ С использованием │ │С использованием│ │ уязвимости │ │ уязвимости │ │ уязвимости, │ │ уязвимости │ │ уязвимости, │ │ уязвимостей, │ │уязвимостей СЗИ │ │ системного ПО │ │ прикладного ПО │ │ вызванной │ │протоколов сетевого│ │ вызванной │ │ обусловливающих │ │ │ │ │ │ │ │ наличием в АС │ │ взаимодействия │ │ недостатками │ │наличие технических│ │ │ │ │ │ │ │ аппаратной │ │и каналов передачи │ │ организации │ │ каналов утечки │ │ │ │ │ │ │ │ закладки │ │ данных │ │ ТЗИ от НСД │ │ информации │ │ │ └────────────────┘ └────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘ └───────────────────┘ └────────────────┘
По объекту воздействия
┌────────────────────────────┐ ┌────────────────────────┐ ┌───────────────────┐ ┌─────────────────────────────┐ ┌──────────────────────┐
│УБПДн, обрабатываемых на АРМ│ │ УБПДн, обрабатываемых │ │УБПДн, передаваемых│ │Угрозы прикладным программам,│ │Угрозы системному │
└┬───────────────────────────┘ │в выделенных технических│ │ по сетям связи │ │предназначенным для работы │ │ПО, обеспечивающему │
│ ┌────────────────────────┐ │ средствах обработки │ │ │ │ с ПДн │ │функционирование ИСПДн│
├──┤На отчуждаемых носителях│ ├────────────────────────┘ └────┬──────────────┘ └─────────────────────────────┘ └──────────────────────┘
│ │ информации │ │ ┌──────────────────────────┐ │ ┌────────────────────┐
│ └────────────────────────┘ ├──┤ На принтера, плоттерах, │ ├──┤ УБПДн при передаче │
│ ┌────────────────────────┐ │ │ графопостроителях и т.п. │ │ │ сигналов по линиям │
├──┤На встроенных носителях │ │ └──────────────────────────┘ │ │ связи │
│ │ долговременного │ │ ┌──────────────────────────┐ │ └────────────────────┘
│ │ хранения информации │ ├──┤На выносных терминалах, │ │ ┌────────────────────┐
│ └────────────────────────┘ │ │мониторах, видеопроекторах│ │ │УБПДн при обработке │
│ ┌────────────────────────┐ │ └──────────────────────────┘ └──┤ пакетов │
├──┤В средствах обработки и │ │ ┌──────────────────────────┐ │ в коммуникационных │
│ │ хранения оперативной │ └──┤В средствах звукоусиления,│ │ элементах │
│ │ информации │ │ звуковоспроизведения │ │ информационно- │
│ └────────────────────────┘ └──────────────────────────┘ │телекоммуникационных│
│ ┌────────────────────────┐ │ систем │
└──┤ В средствах (портах) │ └────────────────────┘
│ ввода (вывода) │
│ информации │
└────────────────────────┘
Рисунок 2. Классификация угроз безопасности
персональных данных, обрабатываемых в информационных
системах персональных данных
Реализация одной из УБПДн перечисленных классов или их совокупности может привести к следующим типам последствий для субъектов ПДн:
значительным негативным последствиям для субъектов ПДн;
негативным последствиям для субъектов ПДн;
незначительным негативным последствиям для субъектов ПДн.
Угрозы утечки ПДн по техническим каналам однозначно описываются характеристиками источника информации, среды (пути) распространения и приемника информативного сигнала, то есть определяются характеристиками технического канала утечки ПДн.
Угрозы, связанные с несанкционированным доступом (НСД) (далее - угрозы НСД в ИСПДн), представляются в виде совокупности обобщенных классов возможных источников угроз НСД, уязвимостей программного и аппаратного обеспечения ИСПДн, способов реализации угроз, объектов воздействия (носителей защищаемой информации, директориев, каталогов, файлов с ПДн или самих ПДн) и возможных деструктивных действий. Такое представление описывается следующей формализованной записью:
угроза НСД: = <источник угрозы>, <уязвимость программного или аппаратного обеспечения>, <способ реализации угрозы>, <объект воздействия>, <несанкционированный доступ>.