Файл: Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины).docx
Добавлен: 30.11.2023
Просмотров: 3165
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
1.2 Оценка угроз безопасности информации, создаваемой информационной системы
Настоящий раздел является методикой моделирования угроз и нарушителя безопасности информации АИС тестирования знаний кредитных инспекторов в коммерческом банке (далее – АИС ТЗ), применяемая в деятельности компании ООО «ПрофБанкТест», и разработан с учетом требований законодательства Российской Федерации в области обеспечения информационной безопасности, методического документа ФСТЭК России от 05 февраля 2021 г. «Методика оценки угроз безопасности информации».
Целью моделирования угроз безопасности информации является выявление условий и факторов, вероятных инцидентов, приводящих к нарушению безопасности информации (нарушению конфиденциальности, целостности, доступности, аутентичности, достоверности) и средств ее обработки.
Оценивание угроз информационной безопасности осуществляется в целях определения угроз безопасности, реализация которых возможна и может нанести ущерб рассматриваемой системе.
Процесс моделирования угроз и нарушителя безопасности информации включается в себя несколько этапов (таблица 1.1):
-
определение возможных негативных последствий, в результате реализации угроз безопасности информации; -
определение возможных объектов воздействия угроз; -
оценку возможности реализации угроз и определение их актуальности.
Таблица 1.1 – Процесс моделирования угроз и нарушителя безопасности информации
| Исходные данные | Этап | Результат |
| Требования законодательства РФ, сведения о составе, структуре и функционале АИС ТЗ, сведения о защищаемых активах | Определение возможных негативных последствий реализации угроз | Перечень негативных последствий |
| Виды рисков (ущерба) | ||
| Сведения о составе, структуре и функционале АИС ТЗ, сведения о доступе к объектам защиты, БДУ ФСТЭК, результаты предыдущего этапа. | Возможные объекты воздействия угроз | Наименование и назначение компонентов (инф. ресурсов) АИС ТЗ, которые являются объектами возможного воздействия угроз |
| Варианты возможного доступа (видов воздействия) нарушителей информационной безопасности к объектам АИС ТЗ | ||
| Особенности организации процессов проведения тестирования знаний сотрудников коммерческих банков, сведения о типах внутренних и внешних нарушителей, описание векторов компьютерных атак, содержащихся в базах данных, сведения о составе, структуре и функционале АИС ТЗ, результаты предыдущего этапа. | Оценка возможности реализации угроз и определение их актуальности | Определение источников угроз (модель нарушителя) |
| Оценка способов реализации угроз | ||
| Оценка актуальности угроз |
Основными объектами защиты информационной безопасности в компании ООО «ПрофБанкТест» являются:
-
информационные ресурсы ограниченного доступа, составляющие персональные данные, коммерческую тайну и иные данные, которые могут быть подвержены несанкционированным воздействиям и нарушению их информационной безопасности, а также общедоступная информация, необходимая для работы ООО «ПрофБанкТест». Примером таких ресурсов может являться информация, находящаяся на серверах в виде файлов, базы данных, носители информации и прочая информация, включая логины, электронные почти и пароли пользователей; -
сотрудники компании, которые являются разработчиками ПО, системными администраторами, администраторами баз данных, операторами и пользователями АИС ТЗ; -
объекты информационной инфраструктуры, включающие в себя системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, каналы связи и телекоммуникации, носители информации, средства и системы защиты информации, объекты и помещения, в которым находятся средства АИС ТЗ. -
программное обеспечение собственной разработки АИС ТЗ; -
процессы обработки и хранения информации в информационной системе компании, технологии, регламенты и процедуры, использующиеся для сбора, систематизации, накопления, хранения и передачи информации для внутреннего и внешнего взаимодействия информационной системы компании.
Основными задачами, решаемыми в данной главе, при оценке угроз безопасности информации, являются:
-
определение негативных последствий от реализации угроз; -
определение возможных объектов воздействия угроз; -
оценка способов реализации (возникновения) угроз; -
оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации; -
оценка сценариев реализации угроз безопасности информации в системах и сетях.
В результате моделирования угроз безопасности информации формируется перечень актуальных угроз безопасности информации, реализуемых в информационной инфраструктуре компании ООО «ПрофБанкТест».
С целью построения модели угроз целесообразно (с учетом угроз Банка данных угроз безопасности информации ФСТЭК) произвести исключение неактуальных угроз для АИС ТЗ. Перечень исключенных угроз представлен в таблице 1.2.
Таблица 1.2 – Перечень исключенных угроз
| УГРОЗЫ, СВЯЗАННЫЕ С ПОДКЛЮЧЕНИЕМ К СЕТИ INTERNET, ОБЛАЧНЫЕ СИСТЕМЫ | |
| УБИ.003 | Угроза анализа криптографических алгоритмов и их реализации |
| УБИ.009 | Угроза восстановления предыдущей уязвимой версии BIOS |
| УБИ.011 | Угроза деавторизации санкционированного клиента беспроводной сети |
| УБИ.016 | Угроза доступа к локальным файлам сервера при помощи URL |
| УБИ.019 | Угроза заражения DNS-кеша |
| УБИ.020 | Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг |
| УБИ.021 | Угроза злоупотребления доверием потребителей облачных услуг |
| УБИ.026 | Угроза искажения XML-схемы |
| УБИ.040 | Угроза конфликта юрисдикций различных стран |
| УБИ.043 | Угроза нарушения доступности облачного сервера |
| УБИ.049 | Угроза нарушения целостности данных кеша |
| УБИ.054 | Угроза недобросовестного исполнения обязательств поставщиками облачных услуг |
| УБИ.055 | Угроза незащищённого администрирования облачных услуг |
| УБИ.056 | Угроза некачественного переноса инфраструктуры в облако |
| УБИ.061 | Угроза некорректного задания структуры данных транзакции |
| УБИ.062 | Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера |
| УБИ.064 | Угроза некорректной реализации политики лицензирования в облаке |
| УБИ.065 | Угроза неопределённости в распределении ответственности между ролями в облаке |
| УБИ.066 | Угроза неопределённости ответственности за обеспечение безопасности облака |
| УБИ.070 | Угроза непрерывной модернизации облачной инфраструктуры |
| УБИ.092 | Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам |
| УБИ.096 | Угроза несогласованности политик безопасности элементов облачной инфраструктуры |
| УБИ.101 | Угроза общедоступности облачной инфраструктуры |
| УБИ.104 | Угроза определения топологии вычислительной сети |
| УБИ.111 | Угроза передачи данных по скрытым каналам |
| УБИ.125 | Угроза подключения к беспроводной сети в обход процедуры аутентификации |
| УБИ.126 | Угроза подмены беспроводного клиента или точки доступа |
| УБИ.130 | Угроза подмены содержимого сетевых ресурсов |
| УБИ.131 | Угроза подмены субъекта сетевого доступа |
| УБИ.133 | Угроза получения сведений о владельце беспроводного устройства |
| УБИ.134 | Угроза потери доверия к поставщику облачных услуг |
| УБИ.135 | Угроза потери и утечки данных, обрабатываемых в облаке |
| УБИ.137 | Угроза потери управления облачными ресурсами |
| УБИ.138 | Угроза потери управления собственной инфраструктурой при переносе её в облако |
| УБИ.141 | Угроза привязки к поставщику облачных услуг |
| УБИ.142 | Угроза приостановки оказания облачных услуг вследствие технических сбоев |
| УБИ.151 | Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL |
| УБИ.153 | Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов |
| УБИ.159 | Угроза «форсированного веб-браузинга» |
| УБИ.164 | Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре |
| УБИ.167 | Угроза заражения компьютера при посещении неблагонадёжных сайтов |
| УБИ.171 | Угроза скрытного включения вычислительного устройства в состав бот-сети. |
| УБИ.172 | Угроза распространения «почтовых червей» |
| УБИ.174 | Угроза «фарминга» |
Продолжение таблицы 1.2
| УБИ.175 | Угроза «фишинга» |
| УБИ.186 | Угроза внедрения вредоносного кода через рекламу, сервисы и контент |
| УБИ.188 | Угроза подмены программного обеспечения |
| УБИ.190 | Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет |
| УБИ.201 | Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере |
| УБИ.215 | УБИ.215: Угроза несанкционированного доступа к системе при помощи сторонних сервисов |
| УГРОЗЫ В ГРИД-СИСТЕМАХ | |
| УБИ. 001 | Угроза автоматического распространения вредоносного кода в грид-системе |
| УБИ. 002 | Угроза агрегирования данных, передаваемых в грид-системе |
| УБИ.047 | Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке |
| УБИ.081 | Угроза несанкционированного доступа к локальному компьютеру через клиента грид- системы |
| УБИ.110 | Угроза перегрузки грид-системы вычислительными заданиями |
| УБИ.116 | Угроза перехвата данных, передаваемых по вычислительной сети |
| УБИ.147 | Угроза распространения несанкционированно повышенных прав на всю грид-систему |
| УБИ.217 | Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения |
| УГРОЗЫ, СВЯЗАННЫЕ С ВИРТУАЛЬНОЙ МАШИНОЙ | |
| УБИ.010 | Угроза выхода процесса за пределы виртуальной машины |
| УБИ.044 | Угроза нарушения изоляции пользовательских данных внутри виртуальной машины |
| УБИ.046 | Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия |
| УБИ.052 | Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения |
| УБИ.058 | Угроза неконтролируемого роста числа виртуальных машин |
| УБИ.075 | Угроза несанкционированного доступа к виртуальным каналам передачи |
| УБИ.076 | Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети |
| УБИ.077 | Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение |
| УБИ.078 | Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети |
| УБИ.079 | Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин |
| УБИ.080 | Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети |
| УБИ.108 | Угроза ошибки обновления гипервизора |
| УБИ.119 | Угроза перехвата управления гипервизором |
| УБИ.120 | Угроза перехвата управления средой виртуализации |
| УГРОЗЫ, СВЯЗАННЫЕ С СУПЕРКОМПЬЮТЕРАМИ | |
| УБИ.029 | Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами |
| УБИ.048 | Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин |
| УБИ.082 | Угроза несанкционированного доступа к сегментам вычислительного поля |
| УБИ.085 | Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации |
| УБИ.106 | Угроза отказа в обслуживании системой хранения данных суперкомпьютера |
| УБИ.146 | Угроза прямого обращения к памяти вычислительного поля суперкомпьютера |
| УБИ.161 | Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями |
Окончание таблицы 1.2
| УГРОЗЫ, СВЯЗАННЫЕ С BIOS (Т.К. ВМЕШАТЕЛЬСТВО В РАБОТУ ТРЕБУЕТ ПРОФЕССИОНАЛИЗМА В ЭТОЙ СРЕДЕ. НА BIOS УСТАНОВЛЕН ПАРОЛЬ АДМИНИСТРАТОРОМ) | |
| УБИ.004 | Угроза аппаратного сброса пароля BIOS |
| УБИ.005 | Угроза внедрения вредоносного кода в BIOS |
| УБИ.013 | Угроза деструктивного использования декларированного функционала BIOS |
| УБИ.018 | Угроза загрузки нештатной операционной системы |
| УБИ.024 | Угроза изменения режимов работы аппаратных элементов компьютера (Высокий потенциал) |
| УБИ.032 | Угроза использования поддельных цифровых подписей BIOS |
| УБИ.035 | Угроза использования слабых криптографических алгоритмов BIOS |
| УБИ.039 | Угроза исчерпания запаса ключей, необходимых для обновления BIOS |
| УБИ.045 | Угроза нарушения изоляции среды исполнения BIOS |
| УБИ.053 | Угроза невозможности управления правами пользователей BIOS |
| УБИ.072 | Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS |
| УБИ.087 | Угроза несанкционированного использования привилегированных функций BIOS |
| УБИ.123 | Угроза подбора пароля BIOS |
| УБИ.129 | Угроза подмены резервной копии программного обеспечения BIOS |
| УБИ.144 | Угроза программного сброса пароля BIOS |
| УБИ.150 | Угроза сбоя процесса обновления BIOS |
| УБИ.154 | Угроза установки уязвимых версий обновления программного обеспечения BIOS |
| ИНЫЕ УГРОЗЫ | |
| УБИ.162 | Угроза эксплуатации цифровой подписи программного кода |
| УБИ.183 | Угроза перехвата управления автоматизированной системой управления технологическими процессами |
| УБИ.184 | Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства |
| УБИ.194 | Угроза несанкционированного использования привилегированных функций мобильного устройства |
| УБИ.195 | Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы (Высокий потенциал) |
| УБИ.196 | Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве |
| УБИ.197 | Угроза хищения аутентификационной информации из временных файлов cookie |
| УБИ.198 | Угроза скрытной регистрации вредоносной программой учетных записей администраторов |
| УБИ.199 | Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентов |
| УБИ.200 | Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов |
| УБИ.202 | Угроза несанкционированной установки приложений на мобильные устройства |
| УБИ.203 | Угроза утечки информации с неподключенных к сети Интернет компьютеров |
| УБИ.204 | Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров |
| УБИ.206 | Угроза отказа в работе оборудования из-за изменения геолокационной информации о нем |
| УБИ.207 | Угроза несанкционированного доступа к параметрам настройки оборудования за счет использования «мастер-кодов» (инженерных паролей) |
| УБИ.208 | Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники |
| УБИ.216 | Угроза получения несанкционированного доступа к приложениям, установленным на Smart- картах |