Файл: 1. термины и определения автоматизированная система (АС).pdf

22
№
п/
п Вид нарушителя Возможные цели реализации угроз безопасности информации Предположения об отнесении к числу возможных нарушителей Непреднамеренные, неосторожные или неквалифицированные действия Месть заранее совершенные действия Системные администраторы и администраторы безопасности Получение финансовой или иной материальной выгоды Любопытство или желание самореализации (подтверждение статуса Непреднамеренные, неосторожные или неквалифицированные действия Месть заранее совершенные действия Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя Бывшие (уволенные) работники пользователи) Получение финансовой или иной материальной выгоды Месть заранее совершенные действия Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
6.1.2.2. Определение характеристик (категория нарушителя и уровень возможности по реализации угроз безопасности информации) возможных нарушителей.
6.1.2.3. Оценка возможности привлечения (вхождения в сговор) одними нарушителями других (в том числе обладающих привилегированными правами доступа.
6.1.2.4. Сопоставление возможных нарушителей и их целей реализации угроз безопасности информации с возможными негативными последствиями и видами рисков ущерба) от реализации (возникновения) угроз безопасности информации. По результатам сопоставления определяются актуальные нарушители последующему принципу нарушитель признается актуальным, если возможные цели реализации нарушителем угроз безопасности информации могут привести к определенным для ИСПДна Бухгалтерский и кадровый учет негативным последствиями соответствующим рискам (видам ущерба.
6.1.3. Итоговые характеристики возможных нарушителей представлены в таблице 9. Таблица 9 – Характеристики возможных нарушителей
№
п/п Возможный вид нарушителя Категория Уровень возможностей Актуальность
1. Отдельные физические лица хакеры) Внешний Н. Нарушитель, обладающий базовыми возможностями Да
2. Лица, обеспечивающие поставку программных, прог- раммно-аппаратных средств, обеспечивающих систем Внешний Н. Нарушитель, обладающий базовыми возможностями Да
3. Поставщики вычислительных услуг, услуг связи Внутренний Н. Нарушитель, обладающий Да

23
№
п/п Возможный вид нарушителя Категория Уровень возможностей Актуальность базовыми повышенными возможностями
4. Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ Внутренний Н. Нарушитель, обладающий базовыми повышенными возможностями Да
5. Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора Внутренний Н. Нарушитель, обладающий базовыми возможностями Да
6. Авторизованные пользователи систем и сетей Внутренний Н. Нарушитель, обладающий базовыми возможностями Да
7. Системные администраторы и администраторы безопасности Внутренний Н. Нарушитель, обладающий базовыми повышенными возможностями Да
8. Бывшие (уволенные) работники (пользователи) Внешний Н. Нарушитель, обладающий базовыми возможностями Да
6.1.4. Категория нарушителя определяется исходя из следующих принципов
– внешний нарушитель – если нарушитель не имеет прав доступа в контролируемую охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсами компонентам ИСПДна Бухгалтерский и кадровый учет, требующим авторизации
– внутренний нарушитель – если нарушитель имеет права доступа в контролируемую охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсами компонентам ИСПДна Бухгалтерский и кадровый учет. К внутренним нарушителям относятся пользователи, имеющие как непривилегированные пользовательские, таки привилегированные (административные) права доступа к информационным ресурсами компонентам ИСПДна Бухгалтерский и кадровый учет.
6.1.5. Внешние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых. Внутренние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых или непреднамеренно (непреднамеренные угрозы безопасности информации) без использования программных, программно-аппаратных средств.
6.1.6. Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных

24 характеристик определяет уровень возможностей нарушителя по реализации угроз безопасности информации.
6.1.7. Уровень возможности нарушителя определяется исходя из следующих принципов
– нарушитель, обладающий базовыми возможностями по реализации угроз безопасности информации – если нарушитель имеет возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов
– нарушитель, обладающий базовыми повышенными возможностями по реализации угроз безопасности информации – если нарушитель имеет возможность реализовывать угрозы, в том числе направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети Интернет. Не имеет возможностей реализации угроз на физически изолированные сегменты систем и сетей
– нарушитель, обладающий средними возможностями по реализации угроз безопасности информации – если нарушитель имеет возможность реализовывать угрозы, в том числе на выявленные им неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеет возможностей реализации угроз на физически изолированные сегменты систем и сетей
– нарушитель, обладающий высокими возможностями по реализации угроз безопасности информации – если имеет практически неограниченные возможности реализовывать угрозы, в том числе с использованием недекларированных возможностей, программных, программно-аппаратных закладок, встроенных в компоненты систем и сетей.

25
7. СПОСОБЫ РЕАЛИЗАЦИИ (ВОЗНИКНОВЕНИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
7.1. Входе оценки угроз безопасности информации определяются возможные способы реализации (возникновения) угроз безопасности информации, за счет использования которых актуальными нарушителями могут быть реализованы угрозы безопасности информации в ИСПДне Бухгалтерский и кадровый учет, – актуальные способы реализации возникновения) угроз безопасности информации.
7.2. Процесс определения актуальных способов реализации (возникновения) угроз безопасности информации включал
7.2.1. Составление перечня рассматриваемых (возможных) способов реализации угроз безопасности. Перечень возможных способов реализации угроз безопасности информации представлен в таблице 10. Таблица 10 – Перечень возможных способов реализации угроз безопасности информации Идентификатор Способы реализации
СР.1 Использование уязвимостей (уязвимостей кода (программного обеспечения, уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей)
СР.2 Внедрение вредоносного программного обеспечения
СР.3 Использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств
СР.4 Установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства
СР.5 Формирование и использование скрытых каналов (повремени, по памяти) для передачи конфиденциальных данных
СР.6 Перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации
СР.7 Инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации
СР.8 Нарушение безопасности при поставках программных, программно- аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию)
СР.9 Ошибочные действия входе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно- аппаратных средств
СР.10 Перехват трафика сети передачи данных
СР.11 Несанкционированный физический доступ и (или) воздействие на линии, (каналы) связи, технические средства, машинные носители информации
СР.12 Реализация атак типа "отказ в обслуживании" в отношении технических средств, программного обеспечения и каналов передачи данных

26 7.2.2. Определение интерфейсов объектов воздействия, определенных в соответствии с разделом 5 настоящей Модели угроз. Интерфейсы объектов воздействия определялись на основе изучения и анализа данных
– об архитектуре, составе и условиях функционирования ИСПДна Бухгалтерский и кадровый учет
– о группах пользователей ИСПДна Бухгалтерский и кадровый учет, их типов доступа и уровней полномочий.
7.2.3. Определение наличия у актуальных нарушителей возможности доступа к интерфейсам объектов воздействия.
7.2.4. Определение актуальных способов реализации (возникновения) угроз безопасности информации актуальным нарушителем через доступные ему интерфейсы объектов воздействия.
7.3. Результаты процесса определения актуальных способов реализации возникновения) угроз безопасности информации, включающие описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы актуальными нарушителями, и описание интерфейсов объектов воздействия, доступных для использования актуальным нарушителям, представлены в таблице 11.

27 Таблица 11 – Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности Вид нарушителя Категория нарушителя Объекты воздействия Доступные интерфейсы Способы реализации идентификатор) Отдельные физические лица хакеры) Внешний Сетевое оборудование Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.12 Сетевое программное обеспечение Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.9; СР.12 Сетевой трафик Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.9; СР.10;
СР.12 Системное программное обеспечение Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.2 Виртуальная инфраструктура (воздействие на гиперви- зор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой) Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.10 Средство вычислительной техники Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.2 Средство защиты информации Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.9; СР.12 Узел вычислительной сети автоматизированные рабочие места, сервера, маршрутизаторы, коммутаторы, устройства и т.п.) Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.2; СР.12

28 Вид нарушителя Категория нарушителя Объекты воздействия Доступные интерфейсы Способы реализации идентификатор) Защищаемая информация Каналы связи с внешними информационно- телекоммуникационными сетями
СР.10 Информационная (автоматизированная) система Пользователи
СР.1 Учетные данные пользователя Каналы связи с внешними информационно- телекоммуникационными сетями
СР.10 Объекты файловой системы Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.4; СР.9 Лица, обеспечивающие поставку программных, програм- мно-аппаратных средств, обеспечивающих систем Внешний
BIOS/UEFI Консоль управления BIOS/UEFI
СР.1; СР.3; СР.9 Физический доступ к аппаратному обеспечению
СР.8; СР.9; СР.11 Сетевое оборудование Физический доступ к программно-аппарат- ным средствам обработки информации
СР.3; СР.4; СР.5;
СР.8; СР.9; СР.11 Средство вычислительной техники Физический доступ к программно-аппарат- ным средствам обработки информации
СР.3; СР.8; СР.9;
СР.11 Средство защиты информации Физический доступ к программно-аппарат- ным средствам защиты информации
СР.8; СР.11 Узел вычислительной сети автоматизированные рабочие места, сервера, маршрутизаторы, коммутаторы, устройства и т.п.) Физический доступ к программно-аппарат- ным средствам обработки информации
СР.8; СР.11 Защищаемая информация Доступ через средства вычислительной техники
СР.1; СР.4; СР.9;
СР.11 Система поддержания тем- пературно-влажностного режима Консоль управления системой поддержания температурно-влажностного режима
СР.1; СР.9 Физический доступ к техническим средствам системы поддержания температурно- влажностного режима
СР.1; СР.11 Поставщики вычислительных услуг, услуг связи Внутренний Сетевое оборудование Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.12

29 Вид нарушителя Категория нарушителя Объекты воздействия Доступные интерфейсы Способы реализации идентификатор) Сетевое программное обеспечение Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.9; СР.12 Сетевой трафик Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.9; СР.10;
СР.12 Узел вычислительной сети автоматизированные рабочие места, сервера, маршрутизаторы, коммутаторы, устройства и т.п.) Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.2; СР.12 Защищаемая информация Каналы связи с внешними информационно- телекоммуникационными сетями
СР.10 Учетные данные пользователя Каналы связи с внешними информационно- телекоммуникационными сетями
СР.10 Объекты файловой системы Каналы связи с внешними информационно- телекоммуникационными сетями
СР.1; СР.4; СР.9 Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ Внутренний BIOS/UEFI Консоль управления BIOS/UEFI
СР.1; СР.3; СР.9 Физический доступ к аппаратному обеспечению
СР.8; СР.9; СР.11 Механизм обновления BIOS/UEFI
СР.1; СР.2; СР.9 Сетевое оборудование Физический доступ к программно-аппарат- ным средствам обработки информации
СР.3; СР.4; СР.5;
СР.8; СР.9; СР.11 Сетевое программное обеспечение Доступ через средства вычислительной техники
СР.1; СР.3; СР.4;
СР.5; СР.8; СР.9 Сетевой трафик Каналы связи узлов локальной вычислительной сети
СР.1; СР.9; СР.10;
СР.12 База данных Пользовательский интерфейс СУБД
СР.9 Служебные программы командной строки СУБД
СР.9 Системное программное обеспечение Доступ через средства вычислительной техники
СР.1; СР.2; СР.3;
СР.4; СР.8; СР.9

30 Вид нарушителя Категория нарушителя Объекты воздействия Доступные интерфейсы Способы реализации идентификатор) Виртуальная инфраструктура (воздействие на гиперви- зор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой) Доступ к системе управления виртуальной инфраструктурой
СР.1; СР.8; СР.9 Доступ к образам виртуальных машин
СР.1; СР.9 Доступ к виртуальным устройствам
СР.1; СР.2; СР.9 Доступ к виртуальным устройствам хранения данных и (или) виртуальным дискам
СР.1; СР.9 Виртуальные каналы передачи данных
СР.10 Доступ к гипервизору
СР.1; СР.2; СР.8; СР.9 Средство вычислительной техники Физический доступ к программно-аппарат- ным средствам обработки информации
СР.3; СР.8; СР.9;
СР.11 Пользовательский интерфейс работы с системным программным обеспечением
СР.1; СР.2; СР.9 Интерфейсы подключения съемных машинных носителей информации
СР.1; СР.2 Средство защиты информации Доступ через средства вычислительной техники
СР.1; СР.9 Физический доступ к программно-аппарат- ным средствам защиты информации
СР.8; СР.11 Узел вычислительной сети автоматизированные рабочие места, сервера, маршрутизаторы, коммутаторы, устройства и т.п.) Физический доступ к программно-аппарат- ным средствам обработки информации
СР.8; СР.11 Графический интерфейс локального взаимодействия пользователя с узлом вычислительной сети
СР.2; СР.9 Каналы удаленного администрирования узла вычислительной сети
СР.1 Защищаемая информация Доступ к виртуальным устройствам хранения данных и (или) виртуальным дискам
СР.9 Виртуальные каналы передачи данных
СР.10

31 Вид нарушителя Категория нарушителя Объекты воздействия Доступные интерфейсы Способы реализации идентификатор) Доступ через средства вычислительной техники
СР.1; СР.4; СР.9;
СР.11 Физический доступ к программно-аппарат- ным средствам обработки информации
СР.7; СР.11 Информационная (автоматизированная) система Средства централизованного управления информационной (автоматизированной) системой или ее компонентами
СР.9 Машинный носитель информации в составе средств вычислительной техники Доступ через средства вычислительной техники
СР.8; СР.9 Физический доступ к машинным носителям информации
СР.11 Через функции ввода-вывода низкого уровня (прямого доступа)
СР.8 Микропрограммное обеспечение Консоль управления микропрограммным обеспечением
СР.1; СР.3; СР.9 Механизм обновления микропрограммного обеспечения
СР.2; СР.4 Учетные данные пользователя Доступ к объектам файловой системы, содержащим учетные данные пользователя
СР.1; СР.9 Прикладное программное обеспечение Доступ через средства вычислительной техники
СР.1; СР.3; СР.4;
СР.8; СР.9 Система поддержания тем- пературно-влажностного режима Консоль управления системой поддержания температурно-влажностного режима
СР.1; СР.9 Физический доступ к техническим средствам системы поддержания температурно- влажностного режима
СР.1; СР.11 Удаленные каналы администрирования системы поддержания температурно-влаж- ностного режима
СР.1; СР.9 Внутренний BIOS/UEFI Консоль управления BIOS/UEFI
СР.1; СР.3; СР.9