Файл: 4. 1 Разработка модели угроз безопасности информации.docx
Добавлен: 06.12.2023
Просмотров: 90
Скачиваний: 3
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.1 Архитектура и схема подключений информационной системы.
2.2 Описание процессов передачи информации.
2.4 Перечень структурных подразделений работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
6. Способы реализации (возникновения) угроз безопасности информации
7. Актуальные угрозы безопасности информации
Уровни возможностей нарушителей по реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 715.
Таблица 7
№ | Уровень возможностей нарушителей | Возможности нарушителей по реализации угроз безопасности информации | Виды нарушителей |
1 | Нарушитель, обладающий базовыми возможностями | Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты. Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Обладает базовыми компьютерными знаниями и навыками на уровне пользователя. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним. Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов | Физическое лицо (хакер) Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем. Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.) Авторизованные пользователи систем и сетей Бывшие работнии (пользователи) |
6. Способы реализации (возникновения) угроз безопасности информации
Исходя из объектов воздействия и доступных интерфейсов, для каждого вида нарушителя определены актуальные способы реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 816.
Примеры определения актуальных способов реализации угроз безопасности информации
и соответствующие им виды нарушителей и их возможности
Таблица 8
№ п/п | Вид нарушителя | Категория нарушителя | Объект воздействия | Доступные интерфейсы | Способы реализации |
1 | Разработчики программных, программно-аппаратных средств | Внешний | ПО | Удаленное подключение | внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства |
7. Актуальные угрозы безопасности информации
7.1 Актуальные техники и тактики реализации угроз.
Из общего состава техник и тактик, приведенных в Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России от 5 февраля 2021 г., исключаем те, которые не связаны с используемыми у нас технологиями, не применимы к нашим процессам, не приводящие к ущербу или недоступные актуальным нарушителям. Все актуальные сценарии должны быть подмножествами их этого ограниченного набора тактик.
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 917.
Таблица 9 – Расшифровка актуальных техник и тактик реализации УБИ
№ | Тактика | Основные техники |
1 | Сбор информации о системах и сетях | Т1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей |
2 | Получение первоначального доступа к компонентам систем и сетей | Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в сети организации; 2) доступ к интерфейсу электронной почты OutlookWebAccess (OWA) почтового сервера организации |
7.2 Перечень актуальных угроз безопасности информации
Далее уже исходя из этих применимых тактик, возможностей нарушителей, объектов воздействия и их интерфейсов и способов реализации определены актуальные угрозы (табл.10).
Таблица 10
Группа актуальных угроз | Уровень возможностей нарушителей | Объекты воздействий | Способы реализации | Негативные последствия |
Угрозы несанкционированной модификации защищаемой информации | Н2 | Прикладное программное обеспечение, Платежная\финансовая информация | С1,С10,С12 | П2.2 |
Угрозы внесения несанкционированных изменений в прикладное программное обеспечение | Н2 | Прикладное программное обеспечение. | С1,С2,С10 | П2.2 |
Угрозы сбора информации защищаемой системы | Н2 | АРМ клиента ФО, ПО клиентской части VPN или драйвера СКЗИ, Каналы связи, Системное программное обеспечение, Прикладное программное обеспечение | С1,С10,С12 | П2.2 |
Угрозы ошибочных действий | Н2 | Прикладное программное обеспечение | С9 | П2.2 |
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности18:
-
Угрозы несанкционированной модификации защищаемой информации -
Угрозы внесения несанкционированных изменений в прикладное ПО -
Угрозы сбора информации защищаемой системы -
Угрозы ошибочных действий
Экспертная группа:
Начальник отдела ИБ ЗАО «Солнышко» Семенов С.С.
Начальник отдела аудита ФГУП «НПП «Бэтта» Васильев Р.А.
Ведущий специалист по ТЗИ ФГУП «НПП «Бэтта» Петров В.И.
1 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
2 Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
3 По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
-
обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями); -
обработка персональных данных субъектов, не являющихся работниками вашей организации.
4 По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
-
менее 100 000 субъектов; -
более 100 000 субъектов;
5 Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн
6 Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа
7 С разграничением прав доступа или без разграничения прав доступа
8 Имеется / не имеется
9 Типовая / специальная
10 Типы актуальных угроз:
угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
11 Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
12 Для определения Виды рисков (ущерба) и типовых негативных последствий от реализации угроз безопасности информации необходимо пользоваться Приложением 4 Методического документа ФСТЭК России: Методика оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.
13 Пример определения объектов воздействия и видов воздействия на них приведен в Приложении 5 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.
14 Пример определения возможных целей реализации угроз безопасности информации нарушителями приведен в Приложении 6 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.