Файл: 4. 1 Разработка модели угроз безопасности информации.docx
Добавлен: 04.02.2024
Просмотров: 332
Скачиваний: 8
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
2. Описание систем и сетей и их характеристика как объектов защиты
2.2 Описание процессов передачи информации.
2.4 Перечень структурных подразделений, работающих с БД ИСПДн «Кадры» ЗАО «Солнышко»
2.5 Анализ организационных мер защиты ИСПДн
2.6 Анализ технологического процесса обработки информации, реализованного в информационной системе
2.7. Результаты классификации ИСПДн «Кадры» ЗАО «Солнышко»
3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации
4. Возможные объекты воздействия угроз безопасности информации
5. Источники угроз безопасности информации
7. Актуальные угрозы безопасности информации
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности ПД в ИСПДн «Кадры» ЗАО «Солнышко» представлена в таблице 918.
Таблица 9 – Расшифровка актуальных техник и тактик реализации УБИ ПД в ИСПДн «Кадры» ЗАО «Солнышко»
№ | Тактика | Основные техники |
Т1 | Сбор информации о системах и сетях Тактическая задача: нарушитель стремится получить любую техническую информацию, которая может оказаться полезной в ходе реализации угроз безопасности информации | Т1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций |
Т1.5. Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений путем поиска и эксплуатации уязвимостей подключенных к сети устройств. | ||
Т1.9. Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей. | ||
Т1.12. Сбор личной идентификационной информации (идентификаторы пользователей, устройств, информация об идентификации пользователей сервисами, приложениями, средствами удаленного доступа), в том числе сбор украденных личных данных сотрудников и подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе и за ее пределами | ||
Т1.13. Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения | ||
Т2 | Получение первоначального доступа к компонентам систем и сетей: Тактическая задача: нарушитель, находясь вне инфраструктуры сети или системы, стремится получить доступ к любому узлу в инфраструктуре и использовать его как плацдарм для дальнейших действий | Т2.3. Эксплуатация уязвимостей сетевого оборудования и средств защиты вычислительных сетей для получения доступа к компонентам систем и сетей при удаленной атаке. Пример: обход межсетевого экрана путем эксплуатации уязвимостей реализации правил фильтрации |
Т2.5. Эксплуатация уязвимостей компонентов систем и сетей при удаленной или локальной атаке. Примеры: 1) эксплуатация уязвимостей веб-сервера с целью выполнения произвольного кода в контексте этого сервера; 2) эксплуатация уязвимостей операционной системы устройства человеко-машинного интерфейса автоматизированной системы управления с целью внедрения средств получения вводимых на этом устройстве паролей доступа; 3) эксплуатация уязвимостей браузера вредоносными скриптами при посещении пользователем вредоносного или скомпрометированного веб-сайта | ||
Т2.6. Использование недокументированных возможностей программного обеспечения сервисов, приложений, оборудования, включая использование отладочных интерфейсов, программных, программно-аппаратных закладок | ||
Т2.7. Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации вредоносных функций. Примеры: 1) передача флеш-носителя в комплекте материалов выездного мероприятия; 2) подмена USB-адаптера беспроводной клавиатуры схожим внешне, но реализующим функции сбора и передачи данных устройством | ||
Т2.11. Несанкционированный доступ путем компрометации учетных данных сотрудника организации, в том числе через компрометацию многократно используемого в различных системах пароля (для личных или служебных нужд) | ||
Т3 | Внедрение и исполнение вредоносного программного обеспечения в системах и сетях: Тактическая задача: получив доступ к узлу сети или системы, нарушитель стремится внедрить в его программную среду инструментальные средства, необходимые ему для дальнейших действий | Т3.2. Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное программное и программное-аппаратное обеспечение систем и сетей |
Т3.5. Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE, Remotecodeexecution) | ||
Т3.6. Автоматическое создание вредоносных скриптов при помощи доступного инструментария от имени пользователя в системе с использованием его учетных данных | ||
Т4 | Закрепление (сохранение доступа) в системе или сети: Тактическая задача: получив доступ к узлу сети с помощью некоторой последовательности действий, нарушитель стремится упростить себе повторное получение доступа к этому узлу, если он ему впоследствии понадобится (например, устанавливает средства удаленного управления узлом, изменяет настройки средств защиты и другие действия) | Т4.1. Несанкционированное создание учетных записей или кража существующих учетных данных |
Т4.3. Скрытая установка и запуск средств удаленного доступа и управления операционной системы. Внесение изменений в конфигурацию и состав программных и программно-аппаратных средств атакуемой системы или сети, вследствие чего становится возможен многократный запуск вредоносного кода | ||
Т5 | Управление вредоносным программным обеспечением и (или) компонентами, к которым ранее был получен доступ: Тактическая задача: внедрив вредоносное программное обеспечение или обеспечив постоянное присутствие на узле сети, нарушитель стремится автоматизировать управление внедренными инструментальными средствами, организовав взаимодействия скомпрометированным узлом и сервером управления, который может быть размещен в сети Интернет или в инфраструктуре организации | Т5.5. Управление через съемные носители, в частности, передача команд управления между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах |
Т6 | Повышение привилегий по доступу к компонентам систем и сетей: Тактическая задача: получив первоначальный доступ к узлу с привилегиями, недостаточными для совершения нужных ему действий, нарушитель стремится повысить полученные привилегии и получить контроль над узлом | Т6.2. Подбор пароля или другой информации для аутентификации от имени привилегированной учетной записи |
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий. Пример: эксплуатация уязвимости драйвера службы печати, позволяющей выполнить код с привилегиями системной учетной записи, через доступ к этому драйверу из приложения, запущенного от имени непривилегированного пользователя | ||
Т10 | Несанкционированный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям Тактическая задача: достижение нарушителем конечной цели, приводящее к реализации моделируемой угрозы и причинению недопустимых негативных последствий | Т10.1. Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивках |
7.2 Перечень актуальных угроз безопасности информации
Далее уже исходя из этих применимых тактик, возможностей нарушителей, объектов воздействия и их интерфейсов и способов реализации определены актуальные угрозы (табл.10).
Таблица 10 – Актуальные угрозы в ИСПДн «Кадры» ЗАО «Солнышко»
Группа актуальных угроз | Уровень возможностей нарушителей | Объекты воздействий | Способы реализации | Негативные последствия |
Кража персональных данных пользователей | Н1 | ИСПДн «Кадры», где содержатся персональные данные работников организации | Использование недекларированных возможностей программного обеспечения. Использование уязвимостей конфигурации системы управления базами данных Внедрение вредоносного программного обеспечения | Ущерб физическому лицу Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью |
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности19:
- угрозы внедрения вредоносного кода;
- угрозы изменения конфигурации сети;
- угрозы ошибочных действий;
-угроза утечки персональных данных
-угроза несанкционированного доступа к персональным данным.
Экспертная группа:
Начальник отдела ИБ ЗАО «Солнышко» _______Семенов С.С.
Начальник отдела аудита ФГУП «НПП «Бэтта» ______ Васильев Р.А.
Ведущий специалист по ТЗИ ФГУП «НПП «Бэтта» ________Петров В.И.
1 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
2 Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:
1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;
2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;
3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;
4 группа — иные категории ПДн, не представленные в трех предыдущих группах.
3 По форме отношений между вашей организацией и субъектами обработка подразделяется на 2 вида:
-
обработка персональных данных работников (субъектов, с которыми ваша организация связана трудовыми отношениями); -
обработка персональных данных субъектов, не являющихся работниками вашей организации.
4 По количеству субъектов, ПДн которых обрабатываются, нормативным актом определены лишь 2 категории:
-
менее 100 000 субъектов; -
более 100 000 субъектов;
5 Автоматизированное рабочее место/Локальная ИСПДн / Распределенная ИСПДн
6 Однопользовательская ИСПДн / многопользовательская ИСПДн с равными правами доступа/ многопользовательская ИСПДн с разными правами доступа
7 С разграничением прав доступа или без разграничения прав доступа
8 Имеется / не имеется
9 Типовая / специальная
10 Типы актуальных угроз:
угрозы 1-го типа связанны с наличием недекларированных (недокументированных) возможностей в системном ПО, используемом в ИСПДн;
угрозы 2-го типа связанны с наличием недекларированных возможностей в прикладном ПО, используемом в ИСПДн;
угрозы 3-го типа не связаны с наличием недекларированных возможностей в программном обеспечении, используемом в ИСПДн.
11 Установив исходные данные, для конкретной ИСПДн определяется уровень защищенности персональных данных в соответствии со следующей таблицей:
12 Для определения Виды рисков (ущерба) и типовых негативных последствий от реализации угроз безопасности информации необходимо пользоваться Приложением 4 Методического документа ФСТЭК России: Методика оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.
13 Пример определения объектов воздействия и видов воздействия на них приведен в Приложении 5 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст : электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.
14 Пример определения возможных целей реализации угроз безопасности информации нарушителями приведен в Приложении 6 к Методике оценки угроз безопасности информации: методический документ, утвержден ФСТЭК России 5 февраля 2021 г. – М.: 2021. – 83 с. – Текст: электронный // Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации online. – URL: https://fstec.ru/component/attachments/download/2919.