РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
РС БР ИББС-2.4-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ.
ОТРАСЛЕВАЯ ЧАСТНАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ
ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ
ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
РАСПОРЯЖЕНИЕ
ЦЕНТРАЛЬНЫЙ БАНК РФ
21 июня 2010 г.
N Р-705
(Д)
Дата введения: 2010-06-21
Предисловие
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 21
июня 2010 года N Р-705.
2. ВВЕДЕНЫ ВПЕРВЫЕ.
Настоящие рекомендации в области стандартизации не могут быть
полностью или частично воспроизведены, тиражированы и распространены в
качестве официального издания без разрешения Банка России.
Введение
В соответствии с действующим стандартом Банка России "Обеспечение
информационной безопасности организаций банковской системы Российской
Федерации. Общие положения" (далее - СТО БР ИББС-1.0) модели угроз и
нарушителей должны быть основным инструментом организации банковской
системы Российской Федерации (БС РФ) при развертывании, поддержании и
совершенствовании системы обеспечения информационной безопасности.
Настоящая Отраслевая частная модель угроз безопасности
персональных данных при их обработке в информационных системах
персональных данных организаций БС РФ (далее - Отраслевая модель
угроз) содержит актуальные для большинства организаций БС РФ угрозы
безопасности персональных данных при их обработке в информационных
системах персональных данных (ИСПДн). Актуальные угрозы определены в
результате проведения оценки рисков в соответствии с рекомендациями в
области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение
информационной безопасности организаций БС РФ. Методика оценки рисков
нарушения информационной безопасности".
1. Область применения
Настоящий документ распространяется на организации БС РФ и
содержит актуальные для большинства организаций БС РФ угрозы
безопасности персональных данных при их обработке в ИСПДн.
Настоящий документ рекомендован для применения путем включения
ссылок и (или) прямого использования устанавливаемых в нем положений
во внутренних документах организаций БС РФ.
В случае необходимости в организации БС РФ может быть составлена
частная модель актуальных угроз безопасности персональных данных при
их обработке в ИСПДн организации БС РФ (далее - частная модель угроз),
учитывающая особенности обработки персональных данных в конкретной
организации БС РФ. При этом:
- в случае сокращения набора угроз частной модели угроз (по
сравнению с Отраслевой моделью угроз) рекомендуется проводить
согласование частной модели угроз с Банком России и Федеральной
службой по техническому и экспортному контролю (далее - ФСТЭК России);
- в случае расширения набора угроз частной модели угроз (по
сравнению с Отраслевой моделью угроз) дополнительное согласование с
Банком России и ФСТЭК России не требуется.
Положения настоящего руководства применяются на добровольной
основе, если только в отношении конкретных положений обязательность не
установлена действующим законодательством Российской Федерации,
нормативным актом Банка России или условиями договора.
В качестве методики выбора актуальных для организации БС РФ угроз
и последующего составления частной модели угроз рекомендуется
использовать рекомендации в области стандартизации Банка России РС БР
ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС
РФ. Методика оценки рисков нарушения информационной безопасности".
2. Нормативные ссылки
В настоящем документе использованы нормативные ссылки на СТО БР
ИББС-1.0.
3. Термины и определения
В настоящем документе применены термины в соответствии с СТО БР
ИББС-1.0, а также следующие термины с соответствующими определениями:
3.1. Источник угрозы безопасности персональных данных: Объект или
субъект, реализующий угрозы безопасности персональных данных путем
воздействия на объекты среды обработки персональных данных организации
БС РФ.
3.2. Объект среды обработки персональных данных: Материальный
объект среды хранения, передачи, обработки, уничтожения и т.д.
персональных данных.
3.3. Оценка риска нарушения безопасности персональных данных:
Систематический и документированный процесс выявления, сбора,
использования и анализа информации, позволяющей провести оценивание
рисков нарушения безопасности персональных данных, обрабатываемых в
организации БС РФ.
3.4. Риск нарушения безопасности персональных данных <*>: Риск,
связанный с угрозой безопасности персональных данных.
--------------------------------
<*> Риски нарушения безопасности персональных данных заключаются
в возможности утраты свойств безопасности персональных данных в
результате реализации угроз безопасности персональных данных,
вследствие чего субъекту персональных данных и (или) организации БС РФ
может быть нанесен ущерб.
3.5. Угроза безопасности персональных данных: Угроза нарушения
свойств безопасности персональных данных - доступности, целостности
или конфиденциальности персональных данных организации БС РФ.
4. Обозначения и сокращения
БС - банковская система;
ИСПДн - информационная система персональных данных;
НСД - несанкционированный доступ;
ПДн - персональные данные;
РФ - Российская Федерация.
5. Общий подход к составлению Отраслевой модели угроз
5.1. Угрозы безопасности персональных данных (ПДн) при их
обработке в информационных системах персональных данных (ИСПДн)
организаций БС РФ - это:
- угроза нарушения доступности ПДн;
- угроза нарушения целостности ПДн;
- угроза нарушения конфиденциальности <*> (неправомерное
использование) ПДн, в том числе за счет хищения отчуждаемых машинных
носителей с несанкционированно копированной информацией.
--------------------------------
<*> Конфиденциальность ПДн - обязательное для соблюдения
оператором или иным получившим доступ к ПДн лицом требование не
допускать их распространения без согласия субъекта ПДн или иного
законного основания (пункт 10 статьи 3 Федерального закона "О
персональных данных"). Обеспечение конфиденциальности ПДн не требуется
в случае обезличивания ПДн и в отношении общедоступных ПДн (пункт 2
статьи 7 Федерального закона "О персональных данных").
5.2. Отраслевая модель угроз содержит систематизированный
перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн,
источников актуальных угроз безопасности ПДн, уровней реализации угроз
безопасности ПДн, типов материальных объектов среды обработки ПДн
(далее - актуальные угрозы безопасности ПДн).
Актуальная угроза безопасности ПДн - угроза безопасности ПДн,
риск реализации которой не является допустимым для организации БС РФ
по результатам проведения оценки рисков нарушения безопасности
персональных данных, обрабатываемых в ИСПДн.
5.3. Отраслевая модель угроз содержит единые исходные данные по
актуальным для организации БС РФ угрозам безопасности ПДн, связанным с
несанкционированным, в том числе случайным, доступом в ИСПДн с целью
ознакомления, изменения, копирования, неправомерного распространения
ПДн или деструктивных воздействий на элементы ИСПДн и обрабатываемых в
них ПДн с целью уничтожения или блокирования ПДн.
В рамках настоящей Отраслевой модели угроз под доступом к ПДн
понимаются ознакомление с ПДн, их обработка, в частности, копирование,
модификация или уничтожение ПДн (в соответствии с Руководящим
документом "Защита от несанкционированного доступа к информации.
Термины и определения", Гостехкомиссия России. М.: Воениздат, 1992).
К несанкционированному доступу (НСД) к ПДн при их обработке в
ИСПДн, в частности, относятся:
доступ к ПДн или действия с ПДн, нарушающие установленные права и
(или) правила разграничения доступа с использованием штатных средств,
предоставляемых ИСПДн;
несанкционированное воздействие на ресурсы ИСПДн, осуществляемое
с использованием вредоносных программ (вредоносного кода).
6. Исходные данные Отраслевой модели угроз
6.1. Категории ПДн:
категория 1 - персональные данные, отнесенные в соответствии с
Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных
данных" (далее - Федеральный закон "О персональных данных") [3] к
специальным категориям персональных данных;
категория 2 - персональные данные, отнесенные в соответствии с
Федеральным законом "О персональных данных" к биометрическим
персональным данным;
категория 3 - персональные данные, которые не могут быть отнесены
к категории 1, категории 2 или категории 4;
категория 4 - персональные данные, отнесенные в соответствии с
Федеральным законом "О персональных данных" к общедоступным или
обезличенным персональным данным.
6.2. Перечень основных источников угроз безопасности ПДн:
- неблагоприятные события природного и техногенного характера;
- террористы, криминальные элементы;
- компьютерные злоумышленники, осуществляющие целенаправленные
деструктивные воздействия, в том числе использование компьютерных
вирусов и других типов вредоносных кодов и атак;
- поставщики программно-технических средств, расходных
материалов, услуг и т.п.;
- подрядчики, осуществляющие монтаж, пусконаладочные работы
оборудования и его ремонт;
- сотрудники организации БС РФ, являющиеся легальными участниками
процессов в ИСПДн и действующие вне рамок предоставленных полномочий;
- сотрудники организации БС РФ, являющиеся легальными участниками
процессов в ИСПДн и действующие в рамках предоставленных полномочий.
6.3. Уровни информационной инфраструктуры, на которых возможна
реализация угроз безопасности ПДн:
- физический уровень;
- сетевой уровень;
- уровень сетевых приложений и сервисов;
- уровень операционных систем;
- уровень систем управления базами данных;
- уровень банковских технологических процессов и приложений.
7. Отраслевая модель угроз
Отраслевая модель угроз безопасности ПДн (Таблица) содержит
обобщенное описание угроз безопасности ПДн для каждой категории ПДн,
включающее:
- источник угрозы безопасности ПДн;
- угроза безопасности ПДн;
- уровень реализации угрозы безопасности ПДн;
- типы материальных объектов среды обработки ПДн (далее - типы
объектов среды).
Таблица
Отраслевая модель угроз безопасности ПДн
---------------------------------------------------------------------------
| N |Источник угрозы | Уровень | Типы объектов | Угроза |
|п/п|безопасности ПДн|реализации угрозы| среды | безопасности ПД |
| | |безопасности ПДн | | |
|---|----------------|-----------------|---------------|------------------|
| 1 | 2 | 3 | 4 | 5 |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 1,| | | |
| |ПДн категории 2 | | | |
|---|----------------|-----------------|---------------|------------------|
| 1 |Компьютерные |Сетевой уровень |Маршрутизаторы,| Нарушение |
| |злоумышленники, | |коммутаторы, | целостности |
|---|осуществляющие | |концентраторы |------------------|
| 2 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
| 3 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты | целостности |
|---| |сервисов |передачи данных|------------------|
| 4 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | доступности |
| | | |сервисы) | |
|---| |-----------------|---------------|------------------|
| 5 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
| 6 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
| 7 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
| 8 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
| 9 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|10 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|11 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|12 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|13 |Поставщики |Уровень |Файлы данных с | Нарушение |
| |программно- |операционных |ПДн |конфиденциальности|
|---|технических |систем | |------------------|
|14 |средств, | | | Нарушение |
| |расходных | | | целостности |
|---|материалов, |-----------------|---------------|------------------|
|15 |услуг и т.п. и |Уровень систем |Базы данных с | Нарушение |
| |подрядчики, |управления базами|ПДн |конфиденциальности|
|---|осуществляющие |данных | |------------------|
|16 |монтаж, | | | Нарушение |
| |пусконаладочные | | | целостности |
|---|работы |-----------------|---------------|------------------|
|17 |оборудования и |Уровень |Прикладные | Нарушение |
| |его ремонт |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|18 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|19 |Сотрудники, |Физический |Линии связи, | Нарушение |
| |действующие в |уровень |аппаратные и |конфиденциальности|
|---|рамках | |технические |------------------|
|20 |предоставленных | |средства, | Нарушение |
| |полномочий | |серверы, | целостности |
| | | |физические | |
| | | |носители | |
| | | |информации | |
|---| |-----------------|---------------|------------------|
|21 | |Сетевой уровень |Маршрутизаторы,| Нарушение |
| | | |коммутаторы, |конфиденциальности|
|---| | |концентраторы |------------------|
|22 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|23 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|24 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты |конфиденциальности|
|---| |сервисов |передачи данных|------------------|
|25 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | целостности |
|---| | |сервисы) |------------------|
|26 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|27 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|28 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|29 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|30 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|31 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|32 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|33 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|34 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
|---| | |ванные рабочие |------------------|
|35 | | |места ИСПДн | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|36 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн |конфиденциальности|
|---|рамок |систем | |------------------|
|37 |предоставленных | | | Нарушение |
| |полномочий | | | целостности |
|---| |-----------------|---------------|------------------|
|38 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|39 | | | | Нарушение |
| | | | | целостности |
|---| |-----------------|---------------|------------------|
|40 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|41 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 3 | | | |
|---|----------------|-----------------|---------------|------------------|
|42 |Компьютерные |Сетевой уровень |Маршрутизаторы,| Нарушение |
| |злоумышленники, | |коммутаторы, | целостности |
|---|осуществляющие | |концентраторы |------------------|
|43 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
|44 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты | целостности |
|---| |сервисов |передачи данных|------------------|
|45 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | доступности |
| | | |сервисы) | |
|---| |-----------------|---------------|------------------|
|46 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|47 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|48 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|49 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|50 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|51 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|52 |Сотрудники, |Физический |Линии связи, | Нарушение |
| |действующие в |уровень |аппаратные и |конфиденциальности|
|---|рамках | |технические |------------------|
|53 |предоставленных | |средства, | Нарушение |
| |полномочий | |серверы, | целостности |
| | | |физические | |
| | | |носители | |
| | | |информации | |
|---| |-----------------|---------------|------------------|
|54 | |Сетевой уровень |Маршрутизаторы,| Нарушение |
| | | |коммутаторы, |конфиденциальности|
|---| | |концентраторы |------------------|
|55 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|56 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|57 | |Уровень сетевых |Программные | Нарушение |
| | |приложений и |компоненты |конфиденциальности|
|---| |сервисов |передачи данных|------------------|
|58 | | |по компьютерным| Нарушение |
| | | |сетям (сетевые | целостности |
|---| | |сервисы) |------------------|
|59 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|60 | |Уровень |Файлы данных с | Нарушение |
| | |операционных |ПДн |конфиденциальности|
|---| |систем | |------------------|
|61 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|62 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|63 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|64 | | | | Нарушение |
| | | | | целостности |
|---| | | |------------------|
|65 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|66 | |Уровень | | Нарушение |
| | |банковских | |конфиденциальности|
|---| |технологических | |------------------|
|67 | |приложений и | | Нарушение |
| | |сервисов | | целостности |
|---| | | |------------------|
|68 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|69 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн |конфиденциальности|
|---|рамок |систем | |------------------|
|70 |предоставленных | | | Нарушение |
| |полномочий | | | целостности |
|---| | | |------------------|
|71 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|72 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн |конфиденциальности|
|---| |данных | |------------------|
|73 | | | | Нарушение |
| | | | | целостности |
|---| |-----------------|---------------|------------------|
|74 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы |конфиденциальности|
|---| |технологических |доступа и |------------------|
|75 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | целостности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
| |ПДн категории 4 | | | |
|---|----------------|-----------------|---------------|------------------|
|76 |Компьютерные |Уровень |Файлы данных с | Нарушение |
| |злоумышленники, |операционных |ПДн | целостности |
|---|осуществляющие |систем | |------------------|
|77 |целенаправленное| | | Нарушение |
| |деструктивное | | | доступности |
|---|воздействие |-----------------|---------------|------------------|
|78 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
|---| |данных | |------------------|
|79 | | | | Нарушение |
| | | | | доступности |
|---|----------------|-----------------|---------------|------------------|
|80 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие в |операционных |ПДн | целостности |
|---|рамках |систем | |------------------|
|81 |предоставленных | | | Нарушение |
| |полномочий | | | доступности |
|---| |-----------------|---------------|------------------|
|82 | |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
|---| |данных | |------------------|
|83 | | | | Нарушение |
| | | | | доступности |
|---| |-----------------|---------------|------------------|
|84 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы | целостности |
|---| |технологических |доступа и |------------------|
|85 | |приложений и |обработки ПДн, | Нарушение |
| | |сервисов |автоматизиро- | доступности |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
|---|----------------|-----------------|---------------|------------------|
|86 |Сотрудники, |Уровень |Файлы данных с | Нарушение |
| |действующие вне |операционных |ПДн | целостности |
| |рамок |систем | | |
|---|предоставленных |-----------------|---------------|------------------|
|87 |полномочий |Уровень систем |Базы данных с | Нарушение |
| | |управления базами|ПДн | целостности |
| | |данных | | |
|---| |-----------------|---------------|------------------|
|88 | |Уровень |Прикладные | Нарушение |
| | |банковских |программы | целостности |
| | |технологических |доступа и | |
| | |приложений и |обработки ПДн, | |
| | |сервисов |автоматизиро- | |
| | | |ванные рабочие | |
| | | |места ИСПДн | |
---------------------------------------------------------------------------
Библиография
[1] Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об
утверждении Положения об обеспечении безопасности персональных данных
при их обработке в информационных системах персональных данных".
[2] Приказ Федеральной службы по техническому и экспортному
контролю, Федеральной службы безопасности Российской Федерации и
Министерства информационных технологий и связи Российской Федерации от
13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения
классификации информационных систем персональных данных".
[3] Федеральный закон "О персональных данных" от 27 июля 2006 г.
N 152-ФЗ. |