Файл: Федеральная служба по техническому и экспортному контролю.pdf

26
Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.
5.2.3. На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности информации, актуальные для систем и сетей.
Основными способами реализации (возникновения) угроз безопасности информации являются:
1) использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей);
2) внедрение вредоносного программного обеспечения;
3) использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;
4) установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;
5) формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;
6) перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
7) инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
8) нарушение безопасности при поставках программных, программно- аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);
9) ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств.
Указанные способы реализации (возникновения) угроз безопасности информации могут быть дополнены иными способами с учетом особенностей архитектуры и условий функционирования систем и сетей.
Способы реализации (возникновения) угроз безопасности информации определяются применительно к объектам воздействия, определенным в соответствии с настоящей Методикой. Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности и имеются или созданы условия, при которых такая возможность может быть реализована в отношении объектов воздействия. Одна угроза безопасности информации может быть реализована несколькими способами.
5.2.4. Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия: внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью
«Интернет», смежными (взаимодействующими) системами или сетями

27
(проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.); внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные); интерфейсы для пользователей
(проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.); интерфейсы для использования съемных машинных носителей информации и периферийного оборудования; интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов систем и сетей; возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам систем и сетей.
Наличие указанных интерфейсов определяется архитектурой, составом и условиями функционирования систем и сетей, группами пользователей, их типами доступа и уровнями полномочий. В ходе анализа должны быть определены как логические, так и физические интерфейсы объектов воздействия, в том числе требующие физического доступа к ним.
Интерфейсы определяются на аппаратном, системном и прикладном уровнях систем и сетей, а также для телекоммуникационного оборудования.
Возможность их использования на указанных уровнях определяется возможностями актуальных нарушителей.
5.2.5. На этапе создания систем и сетей определение интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, проводится на основе предполагаемой архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных о них.
На этапе эксплуатации систем и сетей для определения интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, дополнительно к документации на сети и системы используются результаты инвентаризации систем и сетей, проведенной с использованием автоматизированных средств.
5.2.6. По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены: а) виды и категории нарушителей, которые имеют возможность использования актуальных способов; б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.
Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в приложении 10 к настоящей Методике.

28
5.3 Оценка актуальности угроз безопасности информации
5.3.1. В ходе оценки угроз безопасности информации должны быть определены возможные угрозы безопасности информации и оценена их актуальность для систем и сетей – актуальные угрозы безопасности информации.
5.3.2. Исходными данными для оценки актуальности угроз безопасности информации являются: а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента
Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые
(ведомственные, корпоративные) модели угроз безопасности информации; б) описания векторов компьютерных атак, содержащихся в базах данных и иных информационных источниках, опубликованных в сети «Интернет»
(CAPEC, ATT&CK, OWASP, STIX, WASC и др.); в) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой; г) объекты воздействия угроз безопасности информации и виды воздействий на них, определенные в соответствии с настоящей Методикой; д) виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в соответствии с настоящей Методикой; е) актуальные способы реализации (возникновения) угроз безопасности информации.
5.3.3. На основе анализа исходных данных определяются возможные для систем и сетей угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты систем и сетей (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей.
Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям:
УБИ
i
= [нарушитель (источник угрозы); объекты воздействия; способы реализации угроз; негативные последствия].

29 5.3.4. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.
Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них.
Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.
Перечень основных тактик (тактических задач) и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации, приведен в приложении 11 к настоящей Методике.
5.3.5. На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.
При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности систем и сетей для обоснования выбора организационных и технических мер по защите информации (обеспечению безопасности), а также выбора средств защиты информации (рисунок 7).

30
Сбор информации
Получение первоначаль- ного доступа
Внедрение и использование вредоносного кода
Закрепление в системе и сети
Управление вредоносным кодом и компонентом
Повышение привилегий
Сокрытие действий
Получение доступа к другим компонентам
Сбор и вывод информации
Неправомерный доступ или воздействие
Угроза несанкционированного доступа к базе данных, содержащей защищаемую информацию
Сбор информации из публичных источников
Направленное сканирование при помощи специализиро- ванного ПО
Сбор информации о пользователе
Использование внешних сервисов организации в сетях публичного доступа
(Интернет)
Использование ошибок конфигурации сетевого оборудования и средств защиты
Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной системой и сервисами
Несанкциони- рованное создание учетных записей или кража существующих учетных данных
Скрытая установка и запуск средств удаленного доступа и управления операционной системы
Эксплуатация уязвимостей
ПО к повышению привилегий
Подбор пароля или другой информации для аутентифика- ции от имени привилегиро- ванной учетной записи
Очистка/
затирание истории команд и журналов регистрации
Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси- соединений
Доступ к системе для вывода информации через стандартные протоколы управления
(например,
RDP, SSH)
Отправка данных по известным протоколам управления и передачи данных
Отправка данных по собственным протоколам
Внесение соответствую- щих записей в реестр, обеспечиваю- щих запуск вредоносного
ПО
Туннелирова- ние трафика управления через VPN
Проксирование трафика управления для маскировки подозритель- ной сетевой активности
Использование уязвимостей конфигурации системы, позволяющих вредоносному
ПО выполняться с повышенными привилегиями
Модифика- ция модулей и конфигура- ции вредоносно- го ПО
Неправомер- ный доступ к информации к файловой системе, базам данных
- тактика
- техника
Рисунок 7. Пример сценария реализации угрозы безопасности информации

31
На этапе эксплуатации систем и сетей для каждой возможной угрозы безопасности информации определяется множество возможных сценариев ее реализации в интересах оценки эффективности принятых технических мер по защите информации (обеспечению безопасности), в том числе средств защиты информации. При этом множество сценариев определяется для каждого актуального нарушителя и уровней его возможностей в соответствии с полученными результатами инвентаризации систем и сетей, анализа уязвимостей и (или) тестирования на проникновение, проведенных с использованием автоматизированных средств (рисунок 8).
5.3.6. На этапе эксплуатации определение сценариев реализации угрозы включает: а) анализ исходных данных на систему или сеть, предусматривающий в том числе анализ документации, модели угроз безопасности информации, применяемых средств защиты информации, и определение планируемых к применению автоматизированных средств; б) проведение инвентаризации информационных систем и сетей и определение объектов воздействия и их интерфейсов; в) определение внешних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации; г) определение внутренних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации; д) выявление уязвимостей объектов воздействия, а также компонентов систем и сетей, имеющих внешние интерфейсы, с которыми посредством внутренних интерфейсов взаимодействуют объекты воздействия; е) проведение тестирования на проникновение, подтверждающего возможность использования выявленных уязвимостей или выявления новых сценариев реализации угрозы безопасности информации; ж) поиск последовательности тактик и техник, применение которых может привести к реализации угрозы безопасности информации, исходя из уровня возможностей актуальных нарушителей, а также результатов инвентаризации, анализа уязвимостей и тестирования на проникновение; з) составление сценариев реализации угрозы безопасности информации применительно к объектам и видам воздействия, а также способам реализации угроз безопасности информации.

32
Нарушитель реализовал
SQL инъекцию
Нарушитель отправил письмо с вредоносным файлом
Серверы
Компьютер сотрудника
АРМ
АРМ
Подбор пароля
Сервер
Сервер
Контроллер домена