https://pastein.ru/t/_fB
Загрузка данных
1. Общие положения
Настоящая модель угроз безопасности информации разработана для информационных систем районного суда в соответствии с Методикой ФСТЭК России от 05.02.2021.
Районный суд является государственным органом судебной власти, рассматривающим гражданские, административные и уголовные дела. В ходе деятельности суд обрабатывает персональные данные участников судопроизводства, материалы судебных дел, сведения об уголовном преследовании, а также иные сведения конфиденциального характера.
Нормативная база: ФЗ-152 «О персональных данных», ФЗ-187 «О безопасности КИИ», Закон РФ «О статусе судей», приказы ФСТЭК № 17 и № 21, Методика ФСТЭК от 05.02.2021, БДУ ФСТЭК (bdu.fstec.ru).
2. Описание систем и сетей
В суде функционируют следующие информационные системы:
– ГАС «Правосудие» — автоматизация судебного делопроизводства, обработка персональных данных участников процесса (ИСПДн, 3-я категория);
– Система электронного документооборота (СЭД) — внутренний документооборот, обработка служебной информации и ПДн сотрудников;
– АРМ судей и сотрудников аппарата — подготовка процессуальных документов, работа в ГАС;
– Система видеоконференцсвязи (ВКС) — проведение судебных заседаний в дистанционном формате;
– Веб-сайт суда (sudrf.ru) — публикация судебных актов и сведений о деятельности суда;
– Сервер электронной почты — взаимодействие с участниками процесса и ведомствами.
Инфраструктура включает локальную вычислительную сеть (ЛВС), сегментированную на рабочую зону и DMZ, подключение к сети Интернет через межсетевой экран, а также защищённые каналы связи с Судебным департаментом, органами прокуратуры и СМЭВ.
Применяемые средства защиты: межсетевой экран, антивирусное ПО на всех АРМ и серверах, СКЗИ для ведомственных каналов, система разграничения доступа, резервное копирование баз данных, ограничение использования съёмных носителей, физическая защита серверного помещения.
3. Возможные негативные последствия
У1 — Ущерб физическим лицам
– Утечка персональных данных участников судопроизводства (ФИО, адреса, паспортные данные, сведения о судимости, состоянии здоровья);
– Раскрытие местонахождения лиц, находящихся под государственной защитой;
– Нарушение конституционных прав граждан на неприкосновенность частной жизни;
– Причинение морального вреда и репутационного ущерба участникам процесса.
У2 — Ущерб государству и суду
– Нарушение законодательства (ФЗ-152, УПК, ГПК, КАС);
– Простой информационных систем суда — срыв сроков рассмотрения дел, невозможность проведения заседаний;
– Несанкционированная модификация материалов судебных дел;
– Утрата доверия граждан к судебной системе.
У3 — Ущерб бюджетной системе
– Штрафные санкции за нарушение требований по защите персональных данных;
– Затраты на восстановление информационных систем и ликвидацию последствий инцидентов.
4. Возможные объекты воздействия
– Серверы баз данных ГАС «Правосудие» (материалы дел, ПДн участников процесса);
– АРМ судей и помощников судей;
– Сервер электронной почты;
– Веб-сайт суда (sudrf.ru);
– Система видеоконференцсвязи;
– Локальная вычислительная сеть и каналы связи;
– Учётные записи пользователей (судьи, сотрудники аппарата, администраторы);
– Съёмные носители информации;
– Резервные копии баз данных.
5. Источники угроз безопасности информации
Внешние нарушители
– Хакеры-одиночки и преступные группировки — мотивация: финансовая выгода от продажи ПДн, вымогательство; уровень возможностей: средний и высокий; оценка: актуальные;
– Лица, заинтересованные в исходе судебных дел — мотивация: получение преимущества в процессе, давление на участников; оценка: актуальные;
– Специальные службы иностранных государств — оценка: неактуальные (отсутствует значимый интерес к деятельности районного суда).
Внутренние нарушители
– Сотрудники аппарата суда (авторизованные пользователи) — мотивация: финансовый интерес, неосторожность; имеют легитимный доступ к ИС; оценка: актуальные;
– Системные администраторы — обладают расширенными привилегиями; риск злоупотребления; оценка: актуальные;
– Сотрудники ИТ-подрядчиков — имеют доступ при техническом обслуживании; оценка: актуальные;
– Бывшие сотрудники — риск использования не заблокированных своевременно учётных записей; оценка: актуальные.
6. Способы реализации угроз
– Эксплуатация уязвимостей программного обеспечения — использование незакрытых уязвимостей в ОС, ГАС «Правосудие», веб-сервере;
– Фишинговые атаки и социальная инженерия — рассылка писем с вредоносными вложениями от имени ведомств (прокуратура, Судебный департамент);
– Внедрение вредоносного программного обеспечения (ВПО) — через электронную почту, съёмные носители, заражённые веб-сайты;
– Перебор и компрометация паролей — брутфорс учётных записей ГАС, корпоративной почты;
– Несанкционированное копирование данных на съёмные носители — инсайдерская утечка материалов дел;
– Перехват сетевого трафика — атака «человек посередине» во внутренней сети;
– Повышение привилегий — эксплуатация уязвимостей ОС для получения прав администратора;
– DDoS-атака на веб-сайт — вывод из строя публичного ресурса суда;
– Использование не заблокированных учётных записей уволенных сотрудников.
7. Актуальные угрозы безопасности информации
По результатам оценки определены следующие актуальные угрозы:
– УБИ.006 — внедрение ВПО через браузер при посещении заражённых ресурсов (АРМ сотрудников);
– УБИ.008 — перебор паролей доступа к ГАС «Правосудие» и корпоративной почте;
– УБИ.030 — использование паролей по умолчанию на сетевом оборудовании;
– УБИ.044 — кража информации через съёмные носители (инсайдерская утечка материалов дел);
– УБИ.065 — отказ в обслуживании (DDoS веб-сайта, DoS серверов ГАС);
– УБИ.074 — компрометация учётных записей через социальную инженерию и фишинг;
– УБИ.088 — несанкционированный доступ к материалам дел авторизованным пользователем;
– УБИ.121 — распространение ВПО через механизмы автозапуска со съёмных носителей;
– УБИ.122 — повышение привилегий через эксплуатацию уязвимостей ОС;
– УБИ.179 — несанкционированная модификация материалов судебных дел в базе данных.
Ключевые сценарии реализации
Сценарий 1. Инсайдерская утечка ПДн. Сотрудник аппарата копирует материалы дела на USB-носитель и передаёт их третьим лицам. Задействованы УБИ.044, УБИ.088.
Сценарий 2. Фишинг и НСД к делам. Злоумышленник направляет письмо от имени прокуратуры, компрометирует учётную запись сотрудника и получает доступ к материалам дела в ГАС. Задействованы УБИ.074, УБИ.088, УБИ.179.
Сценарий 3. Атака программой-вымогателем. ВПО распространяется по ЛВС после открытия вредоносного вложения, шифрует серверы БД, парализует работу суда. Задействованы УБИ.006, УБИ.121, УБИ.065.
