Модель угроз. Лечебное учреждение

Введение

Модель угроз информационной безопасности (далее ИБ) – документ, который описывает выявленные угрозы и их актуальность, соответствие используемых средств защиты заданным требованиям безопасности.
Модель угроз типовой медицинской информационной системы (далее МИС) типового лечебно-профилактического учреждения (далее ЛПУ) содержит: описание нарушителя и его возможностей; предположения об имеющихся у нарушителя средствах реализации угроз; описания объектов и целей реализации угроз ИБ; описания каналов реализации угроз ИБ; основные способы реализации угроз ИБ.
Подробно составленная модель угроз ИБ помогает выявить все потенциальные угрозы и разработать контрмеры, сохранив на должном уровне ИБ и минимизировав затраты путем защиты от актуальных угроз.
Настоящая модель угроз ИБ содержит описание систематизированных угроз безопасности информации при ее обработке в информационной системе медицинского центра «Остеополиклиник» (далее Организация).
Данная Организация (медицинский центр семейного типа) занимается оказанием классической, альтернативной и нетрадиционной медицинской помощи и проведения профилактических мероприятий, направленных на снижение уровня заболеваемости населения. Организация для населения оказывает квалифицированную специализированную помощь в учреждении, осуществляет организацию и проведение комплекса профилактических мероприятий по снижению заболеваемости и смертности, планирует и проводит профилактику здоровых и реабилитацию больных взрослых и детей, обеспечивает организацию и проведение мероприятий по пропаганде здорового образа жизни.
Информационная система Организации состоит из нескольких АРМ (более 8) и сервера, соединенных в локальную сеть по топологии «Звезда», коммутатора, все АРМ имеют возможность выхода в интернет (рисунок 1).

Рисунок 1 – Состав типовой информационной системы Организации
Сеть Организации и каналы связи образуют среду функционирования автоматизированной системы (АС).
Сеть Организации функционирует на двух уровнях:
1) Информационная система специалистов – офисная автоматизация, обработка знаний (включая экспертные системы и БД пациентов);
2) Информационные вспомогательные системы – мониторинг, администрирование, контроль, почта, принятие решений.

Угрозы безопасности АС
Все угрозы безопасности информации АС классифицируются по основным базовым признакам на два класса:
естественные угрозы – воздействия объективных физических процессов или стихийных природных явлений (не зависят от человека);
искусственные угрозы – воздействия из-за деятельности человека.
Искусственные угрозы по степени преднамеренного проявления классифицируются:
угрозы случайные – воздействия из-за ошибок или халатности персонала;
преднамеренные угрозы (атаки) – воздействия, нацеленные на несанкционированный доступ и/или модификации данных.
Перечень угроз достаточно обширен и насчитывает более сотни воздействий, но наиболее характерные и часто реализуемые угрозы ИБ АС:
несанкционированное копирование носителей информации;
неосторожные действия, приводящие к разглашению персональной (конфиденциальной) информации, или делающие ее общедоступной;
игнорирование организационных ограничений и правил.
Естественные и случайные угрозы по своей природе не связаны со злонамеренными действиями человека по отношению к АС, хотя они могут привести не только к потере, искажению или компрометации данных, но и создать условия для возможных потенциальных атак нарушителя.
Зачастую от естественных и случайных угроз не предусмотривается специальная защита. Проверки соблюдения правил ИБ регламентируется ведомственными инструкциями АС, разработанных с учетом особенностей медицинских учреждений, поэтому естественные и случайные угрозы далее в представленной модели детально не рассматриваются. Как показывает современный опыт, по всему миру именно преднамеренные угрозы могут принести наибольший вред ИБ АС из-за их целенаправленности в выборе объектов и целей атак, нестандартности, тщательной подготовки и скрытности процессов, проводимых нарушителем.
Сами вероятности осуществления преднамеренных угроз возникают из возможностей нарушителя. В рамках разработки модели угроз проводится анализ таких возможностей, которыми может обладать потенциальный нарушитель. Представленная модель угроз АС Организации предназначена для применения на этапе формирования технического задания по разработке, совершенствования требований и проектных решений по средствам защиты.
Модель вероятного нарушителя включает:
описание типичного нарушителя;
описание возможностей нарушителя;
доступная информация об объектах реализации угроз;
предположения об имеющихся средствах реализации угроз;
описания каналов реализации угроз ИБ;
основные способы реализации угроз.
Разработка модели угроз базируется на следующих принципах:
безопасность информации АС обеспечивается средствами защиты (далее СЗ) и применяемыми в период эксплуатации информационными технологиями. При этом как технические, так и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством РФ требованиям, предъявляемым к обеспечению защиты;
СЗ АС не предназначены для защиты от стандартных действий штатного персонала в рамках предоставленных должностных полномочий;
нарушитель может действовать на всех этапах жизненного цикла АС и применяемых СЗ. На этапах разработки, производства, хранения, транспортировки, ввода в эксплуатацию программных и технических средств не производится обработка защищаемой информации, но объектами атак могут становиться сами эти средства и документация на них.
На этапах жизненного цикла возможны преднамеренные угрозы:
внесения (оставления) любых недекларированных функциональных возможностей, например с установкой дополнительных аппаратных средств или использованием вредоносного программного обеспечения;
внесения несанкционированных изменений в документацию на элементы АС и применяемые компоненты СЗ.
Модель угроз в СЗ разрабатывается исходя из комплексного анализа полученных в ходе информационного обследования применяемых СЗ АС Организации конфиденциальной информации, не подлежащей разглашению, в рамках работ по обеспечению ИБ, в том числе обеспечению безопасности персональных данных пациентов на всех стадиях обработки и хранения в АС.

Модель вероятного нарушителя безопасности АС
Модель нарушителя информационной безопасности – перечень предположений о возможных нарушителях ИБ, их квалификации, о возможностях по применению ими технических и материальных средств.
При описании модели учитывается информация, полученная от служб безопасности, общедоступные данные о существующих средствах доступа к информации и способах перехвата на всех стадиях работы с ней, об обстановке в коллективе Организации, сведения о конкурентах и ситуации на рынке, об имевших место свершившихся случаях нарушения ИБ.
Вероятные нарушители делятся на две группы:
- внешние нарушители – физические лица и представители различных организаций, как имеющие ограничения на право пребывать на территории контролируемой зоны (клиенты и посетители, сотрудники органов ведомственного надзора и управления), так и нарушители пропускного режима и внешние наблюдатели за пределами охраняемой территории, в пределах которой размещается оборудование АС;
- внутренние нарушители – физические лица, имеющие право без особых ограничений находиться на территории контролируемой зоны (штатный административный, обслуживающий информационную систему Организации и технический персонал АС, сотрудники службы безопасности), так и имеющие определенные ограничения пребывания внутри охраняемой территории (вспомогательный и временный персонал), в пределах которой размещается оборудование АС.
В роли внешних нарушителей информационной безопасности могут выступать:
Категория нарушителя Описание категории нарушителя
Лица, способные получить ограниченный доступ к ИС

. - клиенты и посетители
- сотрудники органов и безопасности
Лица, не имеющие право доступа к ИС. - физические лица – нарушители (взломщики)
- внешние наблюдатели (в том числе представители конкурентов и криминала)

Предполагается, что внешний нарушитель способен получить ограниченный доступ к защищаемой информации и может воздействовать всеми возможными способами во время ее передачи по каналам связи.
Внешний нарушитель имеет следующие потенциальные возможности по осуществлению угроз безопасности информации АС:
- сбор информации в качестве клиента или посетителя, имеющего ограниченный доступ на охраняемую территорию;
- перехват паролей или других конфиденциальных данных с использованием пассивных «шпионских» средств;
- несанкционированный доступ (далее НСД) к каналам связи, выходящим за пределы служебных помещений;
- НСД через автоматизированные рабочие места (в том числе по перехваченным или подсмотренным паролям), подключенные к сетям связи общего пользования;
- НСД к информации (в том числе к персональным данным пациентов) с использованием специальных программных воздействий, включая вредоносные программы и программы-закладки.
Под внутренним нарушителем ИБ рассматривается нарушитель, имеющий непосредственный без каких-либо ограничений или ограниченный доступ к каналам связи, техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны Организации.
К внутренним нарушителям могут относиться:
Категория нарушителя Описание категории нарушителя
Работники Организации, не имеющие постоянного доступа к АС Работники органов ведомственного надзора и управления, не имеющие постоянного санкционированного доступа к АС.
Пользователи и операторы АС Штатный персонал, имеющий санкционированный доступ к АС
Руководители различных уровней Штатный административный персонал
Администратор АС Штатные работники информационно-технического подразделения
Администратор локальной сети и безопасности
Работники сторонних организаций, обеспечивающие поставку, сопровождение и ремонт технических средств (далее ТС) АС Работники сторонних организаций, обслуживающие и ремонтирующие ТС АС Организации.
Обслуживающий персонал Организации Штатный технический персонал, включающий уборщиков, работников инженерно-технических служб, охранников и обслуживающих помещения Организации лиц.
Вспомогательный персонал и временные работники Работники сторонних организаций, доставляющие Организации документы и обслуживающие вспомогательное оборудование.

Возможности внутреннего нарушителя зависят от действующих в пределах контролируемой зоны защитных мер, основными из которых является комплексная реализация системы защиты и разграничение доступа.
С учетом всех исключений, в рамках настоящей Модели угроз предполагается, что к вероятным нарушителям информационной безопасности будут относиться следующие лица:
Категория нарушителя Описание категории нарушителя
Работники Организации, не имеющие постоянного доступа к АС Работники органов ведомственного надзора и управления без постоянного санкционированного доступа к АС.
Пользователи и операторы АС Штатный персонал, имеющий санкционированный доступ к АС
Работники сторонних организаций, поставляющие ТС АС Работники сторонних организаций, обслуживающие ТС АС Организации.
Обслуживающий персонал Организации Штатный технический персонал, обслуживающий помещения контролируемой зоны Организации.
Вспомогательный персонал и временные работники Работники сторонних организаций, обслуживающие документооборот и вспомогательное оборудование.
Лица, способные получить ограниченный доступ к ИС. - клиенты и посетители
- сотрудники органов и безопасности
Лица, не имеющие санкционированного доступа к ИС. - нарушители (взломщики)
- внешние сторонние наблюдатели

Система защиты основывается на формировании доступа в контролируемую зону и к данным внутри информационной системы Организации с помощью установки автоматизированного управления пропускным режимом и привлечения для контроля штатных охранников, использования в АС средств антивирусной защиты и обнаружения кибератак. Для сокращения рисков утери или компрометации данных из информационной системы Организации одновременно с изучением установленного программного обеспечения (далее ПО) персонал обучается основам обеспечения сетевой безопасности .
Система разграничения доступа к АС обеспечивает разграничение прав пользователей на доступ к информационным, программным, аппаратным и другим ресурсам ИС. Это разграничение производится в соответствии с принятой политикой информационной безопасности Организации для предотвращения возможного безответственного или ошибочного поведения персонала.


Предположения об имеющейся у нарушителя информации об объектах атак
В качестве основных уровней знаний нарушителей для осуществления преднамеренных угроз (атак) на АС можно выделить следующие:
типовые знания о методах построения вычислительных систем, сетевых протоколов и установленного набора программного обеспечения;
– общая информация и опыт работы в подобной Организации;
– информация о назначения и особенностях АС, опыт системного проектирования и эксплуатации аналогичных систем;
проектная документация, разрабатываемая на этапе создания и модернизации АС и СЗ, или нарушитель принимал участие в реализации СЗ;
скомпрометированные или подсмотренные пароли доступа к АС;
– информация, полученная из эксплуатационной документации;
чувствительная информация, то есть нарушитель обладает сведениями о средствах и механизмах защиты атакуемой АС;
– информация, дополняющая эксплуатационную информацию об АС (например, инструкции по безопасности, создаваемые в ходе эксплуатации).
В частности, нарушитель может иметь:
типовые сведения об организации работы охранных и защитных систем, структуре и используемых технических, программных и программно-технических средствах АС, а также принимаемых защитных мерах;
сведения об информационных ресурсах АС и правилах работы с персональными данными, не подлежащими разглашению: порядок и правила создания, хранения и передачи информации, структура и свойства информационных потоков между персоналом Организации;
данные об существующих в защитных системах уязвимостях, включая данные о недокументированных (недекларированных) возможностях технических, программных и программно-технических средств АС а также установленных СЗ;
данные о реализованных в СЗ принципах и алгоритмах, порядок усиления и модернизации их в ближайшей перспективе;
исходные тексты программного обеспечения АС или СЗ;
сведения из открытых источников или от персонала АС о возможных каналах атак или нарушениях установленного регламента разграничения доступа к конфиденциальной информации;
информацию о способах атак;
данные из анализа внутреннего и внешнего открытого трафика и обмена информацией не подлежащей разглашению с совместно работающими Организациями.


Предположения об имеющихся у нарушителя средствах атак
Предполагается, что внутренний и внешний нарушитель могут иметь:
пассивные средства перехвата;
собранную ранее информацию о АС и особенностях ее функционирования;
перечень недостатков СЗ, входящих в АС;
текущий уровень установленных и модернизированных программных и аппаратных компонентов СЗ информации;
доступные в свободной продаже технические средства и программное обеспечение;
специально разработанные технические средства и программы для внедрения закладок в АС и подключение к каналам связи