Файл: Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины).docx
Добавлен: 30.11.2023
Просмотров: 3181
Скачиваний: 10
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Продолжение таблицы 1.5
| № п/п | Назначение объекта | Вид/категория нарушителя/возможности нарушителя | Виды воздействия/негативные последствия/виды риска | Соотнесение с угрозами | Цели реализации угроз | Описание способов реализации угроз/описание интерфейсов объектов воздействия |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| | | угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах | платежных реквизитов, отчетности. Дискредитация работников, нарушение конфиденциальности ПДн Виды риска: У1: 1.9, 1.11 У2: 2.1, 2.14, 2.11, 2.15, 2.25 (расшифровка приведена в таблице 3.2) | | | уязвимостей конфигурации системы управления базами данных/ Пользовательский веб-интерфейс доступа к базе данных информационной системы Подкуп сотрудника компании |
| 3 | Отдельные физические лица (хакеры)/внешний/Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации. | Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) Несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным (доступ к АС, доступ к БД) Несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач Негативные последствия: дискредитация работников, нарушение штатного режима функционирования АС управления и управляемого объекта и/или процесса. Необходимость дополнительных (незапланированных) затрат на восстановление деятельности. Публикация недостоверной информации на веб-ресурсах организации Виды риска: У1: 1.9, 1.11 У2: 2.8, 2.6, 2.12, 2.14, 2.25, 2.22, 2.24, 2.23 (расшифровка приведена в таблице 3.2) | Возможно, при реализации угроз УБИ006, 008, 034, 041, 083, 084, 100, 152, 178, 191, 140 | Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса) | Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения. Съемные машинные носители информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя. Веб-интерфейс пользователя веб-сайтаИСПДн/ Использование уязвимостей кода программного обеспечения веб-сервера. Использование социальной инженерии для НСД к ИСПДн. Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Сетевые интерфейсы коммутатора сети, где расположен веб-сервер | |
| 4 | Конкурирующие организации/внешние/ Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их | Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) Нарушение функционирования | Возможно, при реализации угроз УБИ 030, 036, 042, 073, 080, 122, 139, | Получение конкурентных преимуществ. Получение финансовой или иной материальной | Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения. Съемные машинные носители |
Продолжение таблицы 1.5
| № п/п | Назначение объекта | Вид/категория нарушителя/возможности нарушителя | Виды воздействия/негативные последствия/виды риска | Соотнесение с угрозами | Цели реализации угроз | Описание способов реализации угроз/описание интерфейсов объектов воздействия |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| | | функционирование для повышения эффективности реализации угроз. Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах. | (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации Негативные последствия: дискредитация или переманивание работников, Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг. Потеря конкурентного преимущества Виды риска: У1: 1.9, 1.11 У2: 2.3, 2.5, 2.9, 2.10, 2.12, 2.14, 2.18, 2.11 (расшифровка приведена в таблице 3.2) | 187, 190, 215, 140 | выгоды. Переманивание сотрудников | информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя. Веб-интерфейс пользователя веб-сайтаИСПДн/ Использование уязвимостей кода программного обеспечения веб-сервера. Использование социальной инженерии для НСД к ИСПДн. Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Сетевые интерфейсы коммутатора сети, где расположен веб-сервер. |
| 5 | Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора/внутренний/Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации | Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) Нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности) Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн Виды риска: У1: 1.9, 1.11 У2: 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17 (расшифровка приведена в таблице 3.2) | Возможно при реализации угроз УБИ 023, 030, 078, 084, 090, 100, 152, 178, 088, 140 | Получение финансовой или иной материальной выгоды. Непреднамеренные, неосторожные или неквалифицированные действия | Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения Съемные машинные носители информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя Технические средства обработки и хранения информации/ непреднамеренно е физическое воздействие в результате неосторожных или неквалифицированных действий | |
| 6 | Авторизованные пользователи систем и сетей/внутренний/ Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в | Вид воздействия: утечка (перехват, кража) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) Нарушение функционирования (работоспособности) | Возможно, при реализации угроз УБИ 012, 023, 030, 034, 078, 084, 090, 100, 178, | Получение финансовой или иной материальной выгоды. Любопытство или желание | Локальная вычислительная сеть организации/Ошибочные действия в ходе настройки АРМ главного бухгалтера Веб-интерфейс системы администрирования веб-сайта |
Продолжение таблицы 1.5
| № п/п | Назначение объекта | Вид/категория нарушителя/возможности нарушителя | Виды воздействия/негативные последствия/виды риска | Соотнесение с угрозами | Цели реализации угроз | Описание способов реализации угроз/описание интерфейсов объектов воздействия |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| | | сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации | программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности) несанкционированная модификация, подмена, искажение защищаемых данных (нарушение целостности) Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн, случайная модификация или удаление данных Виды риска: У1: 1.9, 1.11 У2: 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17, 2.20 (расшифровка приведена в таблице 3.2) | 192, 191, 088 | самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия | компании/нарушение администрирования веб-сайта компании Технические средства обработки и хранения информации/ непреднамеренно е физическое воздействие в результате неосторожных или неквалифицированных действий, Утеря аутентификационных данных или машинных носителей |
| 7 | Системные администраторы и администраторы безопасности/внутренний/ Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах. | Вид воздействия: утечка (перехват, кража) конфиденциальной информации или отдельных данных (нарушение конфиденциальности) Нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности) несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) Отказ в обслуживании компонентов (нарушение доступности) Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн, случайная модификация или удаление данных, отказ в обслуживании компонентов ИСПДн | Возможно, при реализации угроз УБИ 010, 063, 068, 073, 080, 122, 187, 188, 212, 217 | Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия | Локальная вычислительная сеть организации/ Ошибочные действия в ходе настройки АРМ, серверов, средств защиты информации Сетевые интерфейсы коммутатора сети, где расположен веб-сервер/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя Веб-интерфейс системы администрирования веб-сайта компании/нарушение администрирования веб-сайта компании Пользовательский веб-интерфейс доступа к базе данных информационной системы/ Использование уязвимостей конфигурации системы управления базами данных Съемные машинные носители информации, содержащие аутентификационную информацию Извлечение аутентификационной информации из |
Окончание таблицы 1.5
| № п/п | Назначение объекта | Вид/категория нарушителя/возможности нарушителя | Виды воздействия/негативные последствия/виды риска | Соотнесение с угрозами | Цели реализации угроз | Описание способов реализации угроз/описание интерфейсов объектов воздействия |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| | | | Виды риска: У1: 1.9, 1.11 У2: 2.5, 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17, 2.20, 2.15 (расшифровка приведена в таблице 3.2) | | | постоянной памяти носителя |
Актуальные угрозы безопасности информации
Рассмотренные угрозы из БДУ ФСТЭК приведены в таблице 1.6. Всего будет рассмотрено две угрозы:
-
УБИ.008 Угроза восстановления и/или повторного использования аутентификационной информации; -
УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании».
Таблица 1.6 – Актуальные угрозы ИБ
| Перечень возможных (вероятных) угроз безопасности информации | Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации | Нарушитель, способный на реализацию угрозы | Необходимый набор средств/мер для нейтрализации угрозы/нарушителя | Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя | Вывод об актуальности угрозы |
| УБИ.008 Угроза восстановления и/или повторного использования аутентификационной информации | Т1 Сбор информации о системах, сетях и пользователях Т1.1. Сбор информации из публичных источников Т1.2. Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей Т1.4. Сбор информации путем поиска и эксплуатации уязвимостей подключенных к АС устройств Т1.5. Сбор информации путем | Преступные группы (вид 3) Отдельные физические лица – хакеры (вид 4) Разработчики программных, программно-аппаратных средств (вид 5) Поставщики вычислительных услуг, услуг связи (вид 6) Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем (вид 7) Поставщики вычислительных услуг, услуг связи (вид 8) Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ (вид 9) Обоснование: | 1.Использование специализированных программ, закрывающих порты на операционной системе (в совокупности с утвержденным Положением о системе разграничения доступа или соответствующего раздела в Политике ИБ). 2.Использование эффективной, устойчивой парольной политики в организации (в совокупности с утвержденной в виде ОРД – Парольной политикой или соответствующим разделом в Политике | В данный момент в ООО «ПрофБанкТест» имеется сертифицированное ФСТЭК системное, антивирусное и прикладное ПО, а также межсетевой экран Dionis DPS. Парольная политика отсутствует. Таким образом, можно сделать вывод что угроза актуальна, так как на объекте отсутствует необходимый набор средств для нейтрализации как угрозы, так и нарушителя и сценариев, по которым он может реализовать угрозу | Актуальна |
Продолжение таблицы 1.6
| Перечень возможных (вероятных) угроз безопасности информации | Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации | Нарушитель, способный на реализацию угрозы | Необходимый набор средств/мер для нейтрализации угрозы/нарушителя | Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя | Вывод об актуальности угрозы |
| | перебора Т1.6. Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей Т1.7. Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга Т1.8. Сбор личной идентификационной информации пользователей Т2 Получение доступа к компонентам систем и сетей Т2.1. Эксплуатация уязвимостей общедоступных компонентов систем и сетей с целью получения непосредственного доступа или внедрения средств получения аутентификационной информации Т2.2. Использование методов социальной инженерии Т2.3. Несанкционированно е подключение внешних устройств Т2.4. Использование доступа к системам и сетям, предоставленного сторонним организациям. Т2.5. Использование доверенного доступа третьей доверенной стороны (поставщики ИТ-услуг, поставщики услуг безопасности) Т2.6. Подбор (методами прямого перебора, словарных атак, паролей производителей по умолчанию, рассеивания пароля, применения «радужных» таблиц) или компрометация легитимных учетных данных Т2.7. Использование программных, программно-аппаратных закладок Т2.8. Дарение носителей информации (например, флэш), содержащих вредоносное программное обеспечение Т3. Внедрение и исполнение вредоносного ПО в системах и сетях Т3.1. Запуск исполняемых скриптов и файлов Т3.2. Перенос вредоносного кода через общие области памяти | Вид 1 – специальные службы иностранных государств и вид 2 – террористические и экстремистские группировки не рассматриваем, так как считаем, что данный нарушитель не заинтересован в информации, обрабатываемой на объекте ввиду ее низкой ценности именно для данных видов нарушителей. Вид 11 - авторизованные пользователи систем и сетей и вид 12 - системные администраторы и администраторы безопасности не рассматриваем, так как считаем данному нарушителю целесообразнее и быстрее использовать возможности внутренних сервисов. | ИБ). 3. Использование для внутренней проверки устойчивости системы программ для подбора паролей (проведение тестов на проникновение). 4. Использование сертифицированны х систем обнаружения вторжений. 5. Использование сертифицированного системного и прикладного ПО. 6. Использование сертифицированных сканеров уязвимостей 7. Использование сертифицированного антивирусного ПО 8. Утверждение инструкции пользователя (включающей описание методов социальной инженерии.) | | |