ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 54
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
-
Возможность реализации угрозы
Возможность реализации угрозы в ИСПДн определяется исходя из вероятности реализации угрозы (коэффициент Y2) и исходного уровня защищённости ИСПДн в целом (коэффициент Y1) по формуле: Y = (Y1 + Y2)/20.
Коэффициент исходного уровня защищенности ИСПДн «Сегмент ЕГИСЗ» определен как средний (Y1=10).
Коэффициент вероятности реализации угрозы (Y2) определяется следующим образом:
0 – для маловероятной угрозы;
2 – для низкой вероятности угрозы;
5 – для средней вероятности угрозы;
10 – для высокой вероятности угрозы.
Возможность реализации угрозы определяется исходя из значения коэффициента Yследующим образом:
| Значение Y | Возможность реализации угрозы |
| 0 ≤ Y ≤ 0,3 | Низкая |
| 0,3 ≤ Y ≤ 0,6 | Средняя |
| 0,6 ≤ Y ≤ 0,8 | Высокая |
| 0,8 ≤ Y | Очень высокая |
Результаты расчета возможности реализации угрозы приводится в сводной таблице 7.
-
Опасность угрозы
Под опасностью угрозы понимают степень тяжести последствий реализации угрозы для субъекта персональных данных. Вводятся три вербальных градации этого показателя:
-
Низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных; -
Средняя опасность – если реализация угрозы может привести к негативным последствиям для субъектов персональных данных; -
Высокая опасность – если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.
Оценка опасности реализации угрозы приводится в сводной таблице 7.
-
Оценка актуальности угроз
Актуальность угрозы определяется исходя из возможности реализации угрозы и ее опасности следующим образом:
| Возможность реализации угрозы | Опасность угрозы | ||
| Низкая | Средняя | Высокая | |
| Низкая | неактуальная | неактуальная | актуальная |
| Средняя | неактуальная | актуальная | актуальная |
| Высокая | актуальная | актуальная | актуальная |
| Очень высокая | актуальная | актуальная | актуальная |
Итоговая оценка актуальности угроз безопасности персональных данных в ИСПДн «Сегмент ЕГИСЗ» приведена в таблице 7.
Таблица 7 — Оценка актуальности угроз
| Индекс | Наименование угрозы | Вероятность реализации | Возможность реализации | Нарушаемая хар-ка безопасности | Опасность | Показатель актуальности |
| У.1 | Угрозы несанкционированного доступа к информации, обусловленные наличием физического доступа к техническим средствам ИСПДн | |||||
| У.1.1 | Угрозы кражи носителей информации | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.1.2 | Угрозы утери носителей информации | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.1.3 | Угроза утери персональных идентификаторов | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.1.4 | Угрозы, обусловленные загрузкой АРМ/сервера с нештатного носителя | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.1.5 | Угроза получения логического доступа к ИСПДн ввиду оставленных без присмотра терминалов | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.1.6 | Угроза внедрения аппаратных закладок | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Низкая | Неактуальна | ||||
| У.1.7 | Угроза преднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн | Низкая | Средняя | Д | Низкая | Неактуальна |
| Ц | Низкая | Неактуальна | ||||
| У.1.8 | Угроза непреднамеренного уничтожения (повреждения) технических средств и/или каналов связи ИСПДн | Низкая | Средняя | Д | Низкая | Неактуальна |
| Ц | Низкая | Неактуальна | ||||
| У.2 | Угрозы несанкционированного доступа (несанкционированных действий) к информации, обусловленные наличием логического доступа к ИСПДн | |||||
| У.2.1 | Угрозы НСД к информации, ввиду отсутствия или недостаточности механизмов идентификации, аутентификации и управления доступом | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.2 | Угрозы подбора пароля привилегированного пользователя | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.3 | Угрозы получения доступа к данным вследствие некорректного разграничения доступа | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.4 | Угрозы несанкционированного изменения конфигурации программного обеспечения | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.5 | Угрозы несанкционированного отключения или изменения настроек средств защиты информации | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.6 | Угрозы внедрения вредоносных программ | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.7 | Угрозы непреднамеренного разглашения, уничтожения (модификации) информации | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.2.8 | Угрозы преднамеренного разглашения, уничтожения (модификации) информации | Низкая | Средняя | К | Средняя | Актуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.3 | Угрозы, несанкционированного доступа к информации, реализуемые с использованием сетевых протоколов | |||||
| У.3.1 | Угрозыперехвата сетевого трафика | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Низкая | Неактуальна | ||||
| У.3.2 | Угрозы сканирования | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Низкая | Актуальна | ||||
| У.3.3 | Угрозы внедрения ложного объекта | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.3.4 | Угрозы подмены доверенного объекта | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.3.5 | Угрозы навязывания ложного маршрута | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.3.6 | Угрозы выявления паролей | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.3.7 | Угрозы типа «Отказ в обслуживании» | Средняя | Высокая | Д | Низкая | Актуальна |
| У.3.8 | Угрозы удаленного запуска приложений | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.3.9 | Угрозы внедрения по сети вредоносных программ | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.4 | Угрозы, обусловленные наличием недекларированных возможностей в прикладном или системном ПО | |||||
| У.4.1 | Угрозы, связанные с наличием недекларированных возможностей в системном ПО | Маловероятно | Низкая | К | Средняя | Неактуальна |
| Д | Низкая | Неактуальна | ||||
| Ц | Средняя | Неактуальна | ||||
| У.4.2 | Угрозы, связанные с наличием недекларированных возможностей в прикладном ПО | Средняя | Высокая | К | Средняя | Актуальна |
| Д | Низкая | Актуальна | ||||
| Ц | Средняя | Актуальна | ||||
| У.5 | Угрозы утечки информации по техническим каналам | |||||
| У.5.1 | Угрозы утечки акустической (речевой) информации | Маловероятно | Низкая | К | Средняя | Неактуальна |
| У.5.2 | Угрозы утечки видовой информации | Низкая | Средняя | К | Средняя | Актуальна |
| У.5.3 | Угрозы утечки информации по каналу ПЭМИН | Маловероятно | Низкая | К | Средняя | Неактуальна |
| У.6 | Угрозы неантропогенного характера | |||||
| У.6.1 | Природные угрозы | Низкая | Средняя | Д | Низкая | Неактуальна |
| Ц | Низкая | Неактуальна | ||||
| У.6.2 | Техногенные угрозы | Низкая | Средняя | Д | Низкая | Неактуальна |
| Ц | Низкая | Неактуальна | ||||
-
Заключение
По результатам оценки актуальности угроз безопасности персональных данных определен следующий перечень актуальных угроз:
-
Угроза утери персональных идентификаторов (У.1.3); -
Угроза получения логического доступа к ИСПДн ввиду оставленных без присмотра терминалов (У.1.5); -
Угрозы НСД к информации, ввиду отсутствия или недостаточности механизмов идентификации, аутентификации и управления доступом (У.2.1); -
Угрозы подбора пароля привилегированного пользователя (У.2.2); -
Угрозы получения доступа к данным вследствие некорректного разграничения доступа (У.2.3); -
Угрозы несанкционированного изменения конфигурации программного обеспечения (У.2.4.); -
Угрозы несанкционированного отключения или изменения настроек средств защиты информации (У.2.5); -
Угрозы внедрения вредоносных программ (У.2.6); -
Угрозы непреднамеренного разглашения, уничтожения (модификации) информации (У.2.7); -
Угрозы преднамеренного разглашения, уничтожения (модификации) информации (У.2.8); -
Угрозы сканирования (У.3.2); -
Угрозы выявления паролей (У.3.6); -
Угрозы типа «Отказ в обслуживании» (У.3.7); -
Угрозы удаленного запуска приложений (У.3.8); -
Угрозы внедрения по сети вредоносных программ (У.3.9); -
Угрозы, связанные с наличием недекларированных возможностей в прикладном ПО (У.4.2); -
Угрозы утечки видовой информации (У.5.2).
Для нейтрализации актуальных угроз в Учреждении необходимо реализовать следующие подсистемы защиты:
-
подсистему управления доступом; -
подсистему регистрации и учета; -
подсистему обеспечения целостности; -
подсистему антивирусной защиты; -
подсистему межсетевого экранирования; -
подсистему анализа защищенности; -
подсистему обнаружения вторжений.
ПРИЛОЖЕНИЕ А.
ТАБЛИЦА СООТВЕСТВИЯ типов НАРУШИТЕЛЕЙ
Таблица А.1 — Соответствие категорий нарушителей данной Модели угроз и Базовой модели угроз ФСТЭК России
| Тип нарушителя (Базовая модель угроз безопасности ПДн при их обработке в ИСПДн) | Тип нарушителя (таблица 3 Модели угроз) | |
| Индекс | Наименование | |
| Внутренний (категория 1) | Н.1.2.1 | Технический и обслуживающий персонал организации, в том числе работники хозяйственных служб, сотрудники, обслуживающие системы вентиляции, электроснабжения, пожаротушения и др. |
| Н.1.2.2 | Сотрудники подразделений физической охраны и представители внешних охранных предприятий, действующих на основании договора | |
| Н.1.2.3 | Посетители, в том числе представители внешних организаций, прибывшие на объект для проведения переговоров, частные лица, устраивающиеся на работу, курьеры и др. | |
| Н.1.2.4 | Представители внешних организаций, действующих на основании договора, прибывшие на объект для проведения регламентного обслуживания и гарантийного ремонта технических средств ИСПДн | |
| Внутренний (категория 2) | Н.1.1.6 | Сотрудники, допущенные к обработке ПДн в ИСПДн (внутренние пользователи ИСПДн) |
| Внутренний (категория 3) | Н.2.1.2 | Зарегистрированные пользователи ИСПДн, осуществляющие удалённый доступ к ИСПДн с помощью технических средств, не входящих в состав ИСПДн |
| Внутренний (категория 4) | Н.1.1.4 | Администраторы информационной безопасности ИСПДн |
| Внутренний (категория 5) | Н.1.1.1 | Администраторы ИСПДн |
| Н.1.1.2 | Администраторы подсистем (сегментов)ИСПДн (ЛВС, СУБД и др.) | |
| Н.1.1.5 | Представители организаций, осуществляющих техническую поддержку ИСПДн на основании договора, прибывшие на объект с целью исполнения договорных обязательств | |
| Внутренний (категория 6) | Н.1.1.3 | Администраторы информационной безопасности ИСПДн |
| Внутренний (категория 7) | Н.2.2.4 | Разработчики программного обеспечения ИСПДн, имеющие полный логический доступ к разрабатываемым программным компонентам до момента поставки ПО в ИСПДн и в процессе его обновления |
| Внутренний (категория 8) | Н.1.2.5 | Сотрудники организаций, осуществляющих техническое сопровождение и гарантийный ремонт технических средств ИСПДн за пределами объекта информатизации |
| Н.1.2.6 | Производители технических средств ИСПДн, имеющие полный физический доступ к разрабатываемым компонентам до момента поставки оборудования в ИСПДн | |
| Внешний | Н.2.1.1 | Представители организаций, выполняющих работы по технической поддержке ИСПДн на основании договора, осуществляющие удалённый доступ к ИСПДн с помощью технических средств, не входящих в состав ИСПДн |
| Н.2.1.3 | Незарегистрированные (анонимные) пользователи ИСПДн, осуществляющие удалённый доступ к не требующим аутентификации областям ИСПДн с помощью технических средств, не входящих в состав ИСПДн | |
| Н.2.2.1 | Представители организаций, предоставляющих услуги связи, имеющие доступ к используемым ИСПДн каналам передачи данных | |
| Н.2.2.2 | Посторонние лица, имеющие доступ к сетям связи общего пользования и каналам передачи данных за пределами контролируемой зоны | |
| Н.2.2.3 | Посторонние лица, имеющие возможность удалённого съёма информации с технических средств ИСПДн из-за пределов контролируемой зоны | |
ПРИЛОЖЕНИЕ Б.
ТАБЛИЦА СООТВЕСТВИЯ типов угроз безопасности
Таблица Б.1 — Соответствие типов угроз безопасности данной Модели угроз и Базовой модели угроз ФСТЭК России
| Тип угрозы (Базовая модель угроз безопасности ПДн при их обработке в ИСПДн) | Тип угрозы (таблица 6 Модели угроз) | | | |
| Индекс | Наименование | | | |
| Угрозы утечки информации по техническим каналам | | | ||
| угрозы утечки акустической (речевой) информации | У.5.1 | Угрозы утечки акустической (речевой) информации | | |
| угрозы утечки видовой информации | У.5.2 | Угрозы утечки видовой информации | | |
| угрозы утечки информации по каналу ПЭМИН | У.5.3 | Угрозы утечки информации по каналу ПЭМИН | | |
| Угрозы НСД, связанные с действиями нарушителей, имеющих доступ к ИСПДн | | | ||
| угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой | У.1.4 | Угрозы, обусловленные загрузкой АРМ/сервера с нештатного носителя | | |
| угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.) | У.2.1 | Угрозы НСД к информации, ввиду отсутствия или недостаточности механизмов идентификации и аутентификации | | |
| У.2.2 | Угрозы подбора пароля привилегированного пользователя | | | |
| У.2.3 | Угрозы получения доступа к данным вследствие некорректного разграничения доступа | | | |
| У.2.4 | Угрозы несанкционированного изменения конфигурации программного обеспечения | | | |
| У.2.5 | Угрозы несанкционированного отключения или изменения настроек средств защиты информации | | | |
| У.2.7 | Угрозы непреднамеренного разглашения, уничтожения (модификации) информации | | | |
| У.2.8 | Угрозы преднамеренного разглашения, уничтожения (модификации) информации | | | |
| У.1.5 | Угроза получения логического доступа к ИСПДн ввиду оставленных без присмотра терминалов | | | |
| Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия | | | ||
| угрозы «Анализа сетевого трафика» с перехватом передаваемой по сети информации | У.3.1 | Угрозыперехвата сетевого трафика | | |
| угрозы сканирования, направленные на выявление открытых портов и служб, открытых соединений и др. | У.3.2 | Угрозы сканирования | | |
| угрозы внедрения ложного объекта сети | У.3.3 | Угрозы внедрения ложного объекта | | |
| угрозы подмены доверенного объекта | У.3.4 | Угрозы подмены доверенного объекта | | |
| угрозы навязывания ложного маршрута путем несанкционированного изменения маршрутно-адресных данных | У.3.5 | Угрозы навязывания ложного маршрута | | |
| угрозы выявления паролей | У.3.6 | Угрозы выявления паролей | | |
| угрозы типа «Отказ в обслуживании» | У.3.7 | Угрозы типа «Отказ в обслуживании» | | |
| угрозы удаленного запуска приложений | У.3.8 | Угрозы удаленного запуска приложений | | |
| угрозы внедрения по сети вредоносных программ | У.3.9 | Угрозы внедрения по сети вредоносных программ | | |
| Угрозы, обусловленные наличием аппаратных закладок или отчуждаемых носителей вредоносных программ | | | ||
| угрозы внедрения аппаратных закладок | У.1.6 | Угроза внедрения аппаратных закладок | | |
| угрозы внедрения вредоносных программ с отчуждаемых носителей | У.2.1 | Угрозы внедрения вредоносных программ | | |