Файл: Федеральная служба по техническому и экспортному контролю.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 485
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
49
Окончание таблицы 6.1
№
вида
Виды
нарушителя
Категории
нарушителя
Возможные цели реализации угроз
безопасности информации
7
Лица, обеспечивающие поставку программных, программно- аппаратных средств, обеспечивающих систем
Внешний
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
8
Поставщики вычислительных услуг, услуг связи
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
9
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
10
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
(администрация, охрана, уборщики и т.д.)
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
11
Авторизованные пользователи систем и сетей
Внутренний Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
12
Системные администраторы и администраторы безопасности
Внутренний Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
13
Бывшие работники
(пользователи)
Внешний
Получение финансовой или иной материальной выгоды.
Месть за ранее совершенные действия
Указанные возможные цели реализации угроз безопасности информации подлежат конкретизации и могут дополняться другими целями в зависимости от особенностей области деятельности, в которой функционируют системы и сети.
При оценке возможностей нарушителей необходимо исходить из того, что для повышения уровня своих возможностей нарушители 1 вида могут вступать
50 в сговор с нарушителями 5, 6, 7, 8, 9, 10, 11, 12 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 10, 11, 12 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 10, 11, 12 видов. В случае принятия таких предположений цели и уровни возможностей нарушителей подлежат объединению.
51
Приложение 7 к Методике оценки угроз безопасности информации
Пример оценки целей реализации нарушителями угроз безопасности информации в зависимости от возможных
негативных последствий и видов ущерба от их реализации
(для государственной информационной системы)
Таблица 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей
видам риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба государству в
области обеспечения обороны
страны, безопасности государства
и правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Специальные службы иностранных государств
-
-
+
(дискредитация или дестабилизация деятельности органа государственной власти
*
)
У3
**
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
Террористические, экстремистские группировки
-
-
+
(дестабилизация деятельности органов государственной власти, организаций)
У3
(отсутствие доступа к социально значимым государственным услугам)
52
Продолжение таблицы 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Преступные группы
(криминальные структуры)
+
(получение финансовой выгоды за счет кражи и продажи персональных данных граждан)
+
(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)
+
(желание самореализоваться)
У1
(нарушение конфиденциальности персональных данных граждан)
У2
(нарушение деловой репутации)
У3
(организация митингов, забастовок из-за публикаций недостоверной информации)
Отдельные физические лица (хакеры)
+
(желание самореализоваться)
+
(получение финансовой выгоды за счет кражи и коммерческой тайны)
-
У1
(нарушение личной, семейной тайны, утрата чести и доброго имени) У2
(утечка коммерческой тайны; потеря клиентов)
Конкурирующие организации
-
-
-
-
53
Продолжение таблицы 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Разработчики программных, программно- аппаратных средств
-
+
(передача информации о юридическом лице третьим лицам)
+
(внедрение дополнительных функциональных возможностей в программные или программно- аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств)
У2
(недополучение ожидаемой прибыли)
У3
(нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
-
-
-
-
Поставщики вычислительных услуг, услуг связи
-
-
-
-
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
-
-
1 2 3 4 5 6 7 8 9
-
-
54
Продолжение таблицы 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
(администрация, охрана, уборщики и т.д.)
-
-
-
-
Авторизованные пользователи систем и сетей
+
(непреднамеренные, неосторожные или неквалифицированные действия)
-
-
У1
(финансовый, иной материальный ущерб физическим лицам)
Системные администраторы и администраторы безопасности
+
(месть за ранее совершенные действия)
+
(любопытство или желание самореализации)
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
У1
(финансовый, иной материальный ущерб физическим лицам)
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)
55
Окончание таблицы 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Бывшие
(уволенные) работники
(пользователи)
-
-
-
-
*
- примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6 к настоящей Методике.
**
- примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5 к настоящей Методике.
56
Приложение 8 к Методике оценки угроз безопасности информации
Уровни возможностей нарушителей
по реализации угроз безопасности информации
Таблица 8.1
№
Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
Н1 Нарушитель, обладающий базовыми возможностями
Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.
Имеет возможность использовать средства реализации угроз
(инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
Таким образом, нарушители с базовыми возможностями имеют
возможность
реализовывать
только
известные
угрозы,
направленные на известные (документированные) уязвимости, с
использованием общедоступных инструментов
Физическое лицо (хакер)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.)
Авторизованные пользователи систем и сетей
Бывшие работники (пользователи)
Н2 Нарушитель, обладающий базовыми повышенными возможностями
Обладает всеми возможностями нарушителей с базовыми возможностями.
Имеет возможность использовать средства реализации угроз
(инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, однако хорошо владеет этими
Преступные группы (два лица и более, действующие по единому плану)
Конкурирующие организации
Поставщики вычислительных услуг,
57
Продолжение таблицы 8.1
№
Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
средствами и инструментами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз.
Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей.
Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации.
Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно- аппаратных средствах.
Таким образом, нарушители с базовыми повышенными
возможностями имеют возможность реализовывать угрозы, в том
числе направленные на неизвестные (недокументированные)
уязвимости, с использованием специально созданных для этого
инструментов, свободно распространяемых в сети «Интернет». Не
имеют
возможностей
реализации
угроз
на
физически
изолированные сегменты систем и сетей услуг связи
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
Системные администраторы и администраторы безопасности
Н3 Нарушитель, обладающий средними возможностями
Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность самостоятельно разрабатывать средства
Террористические, экстремистские группировки
Разработчики программных, программно-аппаратных средств