Файл: Федеральная служба по техническому и экспортному контролю.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 486
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
58
Продолжение таблицы 8.1
№
Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
(инструменты), необходимые для реализации угроз
(атак), реализовывать угрозы с использованием данных средств.
Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа.
Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
Обладает высокими знаниями и практическими навыками о функционировании систем и сетей, операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц.
Таким образом, нарушители со средними возможностями имеют
возможность реализовывать угрозы, в том числе на выявленные ими
неизвестные
уязвимости,
с
использованием
самостоятельно
разработанных для этого инструментов. Не имеют возможностей
реализации угроз на физически изолированные сегменты систем и сетей
Н4 Нарушитель, обладающий высокими возможностями
Обладает всеми возможностями нарушителей со средними возможностями.
Имеет возможность получения доступа к исходному коду встраиваемого программного обеспечения аппаратных платформ, системного и прикладного программного обеспечения, телекоммуникационного оборудования и других программно-аппаратных средств для получения сведений об уязвимостях «нулевого дня».
Имеет возможность внедрения программных
(программно- аппаратных) закладок или уязвимостей на различных этапах поставки программного обеспечения или программно-аппаратных средств.
Специальные службы иностранных государств
59
Окончание таблицы 8.1
№
Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение.
Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности.
Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений.
Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации.
Обладает исключительными знаниями и практическими навыками о функционировании систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлен о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемых систем и сетей.
Таким образом, нарушители с высокими возможностями имеют
практически неограниченные возможности реализовывать угрозы,
в том числе с использованием недекларированных возможностей,
программных, программно-аппаратных закладок, встроенных в
компоненты систем и сетей
60
Приложение 9 к Методике оценки угроз безопасности информации
Примеры результата определения актуальных нарушителей при
реализации угроз безопасности информации и
соответствующие им возможности
(для государственной информационной системы)
Таблица 9.1
№
п/п
Виды риска (ущерба) и
возможные негативные
последствия
*
Виды
актуального
нарушителя
**
Категория
нарушителя
Уровень
возможностей
нарушителя
1
У1: нарушение конфиденциальности персональных данных граждан; нарушение личной, семейной тайны, утрата чести и доброго имени; финансовый, иной материальный ущерб физических лиц
Преступные группы
(криминальные структуры)
Внешний
Внутренний***
Н3
Отдельные физические лица
(хакеры)
Внешний
Н2
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н2
Авторизованные пользователи систем и сетей
Внутренний
Н2 2
У2: невозможность заключения договоров, соглашений; утечка коммерческой тайны; потеря клиентов; нарушение деловой репутации; недополучение ожидаемой прибыли
Преступные группы
(криминальные структуры)
Внешний
Н3
Отдельные физические лица
(хакеры)
Внутренний
Н2
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н2 3
У3: нарушение функционирования государственного органа, дискредитация деятельности органа
Специальные службы иностранных государств
Внешний
Внутренний***
Н4
Террористические, экстремистские организации
Внешний
Н3
61
Окончание таблицы 9.1
№
п/п
Виды риска (ущерба) и
возможные негативные
последствия
*
Виды
актуального
нарушителя
**
Категория
нарушителя
Уровень
возможностей
нарушителя
государственной власти; доступ к системам и сетям с целью незаконного использования вычислительных мощностей; утечка информации ограниченного доступа; организация митингов, забастовок из-за публикаций недостоверной информации; отсутствие доступа к социально значимым государственным услугам
Преступные группы
(криминальные структуры)
Внешний
Внутренний***
Н3
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н3
Авторизованные пользователи систем и сетей
Внутренний
Н1
Бывшие
(уволенные) работники
(пользователи)
Внутренний
Н1
*
- примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные с учетом приложений 4 и 5 к настоящей Методике.
**
- примеры видов актуальных нарушителей, определенные с учетом приложений 6 и 7 к настоящей Методике.
***
- при сговоре преступной группировки (криминальной структуры) с системными администраторами и администраторами безопасности, определенном в приложении 7 к настоящей Методике.
62
Приложение 10 к Методике оценки угроз безопасности информации
Примеры определения актуальных способов реализации угроз безопасности информации
и соответствующие им виды нарушителей и их возможности
(для государственной информационной системы)
Таблица 10.1
№
п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
1
Специальные службы иностранных государств (Н4)
Внешний
База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; утечка
(нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных
Веб-интерфейс удаленного администрирования базы данных информационной системы
Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования
Пользовательский веб-интерфейс доступа к базе данных информационной системы
Использование уязвимостей конфигурации системы управления базами данных
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных: перехват
(нарушение конфиденциальности) защищаемой информации,
Канал передачи данных между сервером основного центра обработки данных и сервером резервного центра обработки данных
Установка программных закладок в телекоммуникационное оборудование
63
Продолжение таблицы 10.1
№
п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
системных, конфигурационных, иных служебных данных
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе: нарушение функционирования
(работоспособности) средств обработки и хранения информации; модификация
(подмена) защищаемой информации, системных, конфигурационных, иных служебных данных
Удаленный канал управления коммутационным контроллером
Использование уязвимостей кода коммутационного контроллера
Съемные машинные носители информации, содержащие аутентификационную информацию
Извлечение аутентификационной информации из постоянной памяти носителя
(инвазивный метод)
2
Отдельные физические лица
(хакеры) (Н2)
Внешний
Удаленное автоматизированное рабочее место
(АРМ) пользователя: несанкционированный доступ к операционной системе АРМ пользователя; нарушение конфиденциальности информации, содержащейся на
АРМ пользователя
Доступ через локальную вычислительную сеть организации
Внедрение вредоносного программного обеспечения
Съемные машинные носители информации, подключаемые к АРМ пользователя
Использование уязвимостей конфигурации системы управления доступом к
АРМ пользователя
Веб-сайт портала государственных услуг
(сервисов): отказ в обслуживании веб-сайта портала государственных услуг
Веб-интерфейс пользователя веб-сайта государственных услуг
Использование уязвимостей кода программного обеспечения веб-сервера
64
Окончание таблицы 10.1
№
п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
Внедрение вредоносного кода в веб-приложение
Сетевые интерфейсы коммутатора сети, где расположен веб-сервер
Использование уязвимостей конфигурации системы управления доступом к
АРМ пользователя
3
Авторизованные пользователи систем и сетей (Н1)
Внутренний
АРМ главного бухгалтера организации: модификация платежных поручений, хранящихся на
АРМ главного бухгалтера
Локальная вычислительная сеть организации
Ошибочные действия в ходе настройки
АРМ главного бухгалтера
Сервер базы данных веб-сайта портала государственных услуг
(сервисов): отказ в обслуживании отдельных компонентов или систем и сетей в целом
Веб-интерфейс системы администрирования веб-сайта портала государственных услуг
Нарушение цепочки услуг по администрированию портала государственных услуг
65
Приложение 11 к Методике оценки угроз безопасности информации
1 2 3 4 5 6 7 8 9
Перечень основных тактик и соответствующих им типовых техник, используемых для построения
сценариев реализации угроз безопасности информации
Таблица 11.1
№
Тактика
Основные техники
Т1 Сбор информации о системах и сетях
Тактическая задача: нарушитель стремится получить любую техническую информацию, которая может оказаться полезной в ходе реализации угроз безопасности информации
T1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации,
СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций
T1.2. Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений.
Пример: использование поисковой системы Shodan для получения информации об определенных моделях IP-камер видеонаблюдения с возможно уязвимыми версиями прошивок
T1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях – идентификационной информации пользователей
T1.4. Направленное сканирование при помощи специализированного программного обеспечения подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий программного обеспечения этих сервисов, а также с целью получения конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений.
Пример: сканирование при помощи сканера nmap
Т1.5. Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений путем поиска и эксплуатации уязвимостей подключенных к сети устройств.
Пример: эксплуатация уязвимости типа directory traversal публично доступного веб-сервера
66
Продолжение таблицы 11.1
№
Тактика
Основные техники
Т1.6. Сбор информации о пользователях, устройствах, приложениях, авторизуемых сервисами вычислительной сети, путем перебора.
Пример: сбор информации о почтовых адресах при помощи directoryharvestattack на почтовые сервера
Т1.7. Сбор информации, предоставляемой DNS сервисами, включая DNS Hijacking
Т1.8. Сбор информации о пользователе при посещении им веб-сайта, в том числе с использованием уязвимостей программы браузера и надстраиваемых модулей браузера
Т1.9. Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей.
Пример: получение хэшей паролей из /etc/passwd или получение паролей по умолчанию путем обратного инжиниринга прошивки устройства
Т1.10. Кража цифровых сертификатов, включая кражу физических токенов, либо неавторизованное выписывание новых сертификатов (возможно после компрометации инфраструктуры доменного регистратора или аккаунта администратора зоны на стороне жертвы)
Т1.11. Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга
Т1.12. Сбор личной идентификационной информации (идентификаторы пользователей, устройств, информация об идентификации пользователей сервисами, приложениями, средствами удаленного доступа), в том числе сбор украденных личных данных сотрудников и подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе и за ее пределами
Т1.13. Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения
Т1.14. Сбор информации через получение контроля над личными устройствами сотрудников
(смартфонами, планшетами, ноутбуками) для скрытой прослушки и видеофиксации
Т1.15. Поиск и покупка баз данных идентификационной информации, скомпрометированых паролей и ключей на специализированных нелегальных площадках