Определение актуальности угроз безопасности информации НАИМ СИСТЕМЫ

⇐ ПредыдущаяСтр 6 из 6

Определение актуальности УБИ НАИМ СИСТЕМЫ проводится в соответствии с «Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённой Заместителем директора ФСТЭК России 14 февраля 2008 г.»

Исходный уровень защищённости

Под уровнем исходной защищённости понимается обобщённый показатель, зависящий от технических и эксплуатационных характеристик ИС, приведённых в таблице 3.6.1.1.

Таблица 3.6.1.1. Исходный уровень защищённости ИС.

Технические и эксплуатационные характеристики	Уровень защищённости
высокий	средний	низкий
1. По территориальному размещению: Распределенная ИС, развёрнутая в пределах региона.	-	-	+
2. По наличию соединения с сетями общего пользования: ИС, имеющая многоточечный выход в сеть общего пользования.	-	+	-
3. По встроенным (легальным) операциям с записями баз ПДн: Модификация, передача.	-	-	+
4. По разграничению доступа к ПДн: ИС, к которой имеют доступ определённые перечнем сотрудники организации, являющейся владельцем, либо субъектом ПДн.	-	+	-
5. По наличию соединений с другими базами ПДн иных ИС: Используется одна база ПДн, принадлежащая владельцу данной ИС	+	-	-
6. По уровню обобщения (обезличивания) ПДн: Предоставляемые пользователю ИС данные не являются обезличенными (т.е. присутствует информация, позволяющая идентифицировать субъекта ПДн)	-	-	+
7. По объёму ПДн, которые предоставляются сторонним пользователям ИС без предварительной обработки: ИС, предоставляющая часть ПДн.	-	+	-

При составлении перечня актуальных угроз безопасности ПДн каждой степени исходной защищённости ставится в соответствие числовой коэффициент Y₁. Таким образом, НАИМ СИСТЕМЫ имеет низкую степень исходной защищённости – Y₁= 10.

3.6.2. Алгоритм определения актуальных УБИ

Коэффициент реализуемости угрозы Y определяется соотношением:

Y = (Y₁ + Y₂) / 20.

По значению коэффициента реализуемости угрозы формируется вербальная интерпретация реализуемости угрозы следующим образом:

· Если 0 ≤ Y ≤ 0.3, то возможность реализации угрозы признается низкой;

· Если 0.3 ≤ Y ≤ 0.6, то возможность реализации угрозы признается средней;

· Если 0.6 ≤ Y ≤ 0.8, то возможность реализации угрозы признается высокой;

· Если Y > 0.8, то возможность реализации угрозы признается очень высокой.

Далее оценивается опасность каждой угрозы. При оценке опасности на основе опроса экспертов (специалистов в области защиты информации) определяется вербальный показатель опасности для рассматриваемой ИС. Этот показатель имеет три значения:

· низкая опасность - если реализация угрозы может привести к незначительным негативным последствиям для субъектов персональных данных;

· средняя опасность - если реализация угрозы может привести к негативным последствиям для субъектов персональных данных;

· высокая опасность - если реализация угрозы может привести к значительным негативным последствиям для субъектов персональных данных.

Затем осуществляется выбор из общего (предварительного) перечня угроз безопасности тех, которые относятся к актуальным для данной ИС, в соответствии с правилами, приведенными в таблице 3.6.2.1.

Таблица 3.6.2.1

Возможность реализации угрозы	Показатель опасности угрозы
низкая	средняя	высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Актуальность УБИ

Для каждой угрозы рассчитан коэффициент реализуемости угрозы и определён показатель опасности угрозы.

Таблица 3.6.3.1. Определение актуальности угроз.

Угрозы безопасности информации	Y₁	Y₂	Y	Показатель опасности	Актуальность угрозы	Последствия реализации угрозы
Угроза утечки акустической (речевой) информации.			0.5	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза утечки видовой информации.			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угрозы утечки информации по каналам ПЭМИН.			0.5	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза анализа криптографических алгоритмов и их реализации			0.6	Низкая	Неактуальная	Нарушение конфиденциальности и целостности
Угроза аппаратного сброса пароля BIOS			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза внедрения кода или данных			0.75	Низкая	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза воздействия на программы с высокими привилегиями			0.75	Низкая	Актуальная	Нарушение конфиденциальности и целостности
Угроза восстановления аутентификационной информации			0.75	Высокая	Актуальная	Нарушение конфиденциальности
Угроза восстановления предыдущей уязвимой версии BIOS			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза деструктивного изменения конфигурации/среды окружения программ			0.75	Высокая	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза деструктивного использования декларированного функционала BIOS			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза длительного удержания вычислительных ресурсов пользователями			0.6	Средняя	Актуальная	Нарушение доступности
Угроза доступа к защищаемым файлам с использованием обходного пути			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза доступа к локальным файлам сервера при помощи URL			0.75	Низкая	Актуальная	Нарушение конфиденциальности
Угроза доступа/перехвата/изменения HTTP cookies			0.75	Низкая	Актуальная	Нарушение конфиденциальности и доступности
Угроза загрузки нештатной операционной системы			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза заражения DNS-кэша			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза избыточного выделения оперативной памяти				Средняя	Актуальная	Нарушение доступности
Угроза изменения компонентов системы			0.75	Средняя	Актуальная	Нарушение целостности и доступности
Угроза изменения системных и глобальных переменных			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза искажения XML-схемы			0.6	Средняя	Актуальная	Нарушение целостности и доступности
Угроза искажения вводимой и выводимой на периферийные устройства информации				Низкая	Актуальная	Нарушение целостности
Угроза использования альтернативных путей доступа к ресурсам			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза использования информации идентификации/аутентификации, заданной по умолчанию			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза использования механизмов авторизации для повышения привилегий			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза использования поддельных цифровых подписей BIOS			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза использования слабостей кодирования входных данных			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза использования слабостей протоколов сетевого/локального обмена данными			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза исследования механизмов работы программы			0.6	Низкая	Неактуальная	Нарушение конфиденциальности и доступности
Угроза исследования приложения через отчёты об ошибках			0.6	Низкая	Неактуальная	Нарушение конфиденциальности информации
Угроза исчерпания запаса ключей, необходимых для обновления BIOS			0.6	Низкая	Неактуальная	Нарушение целостности информации
Угроза межсайтового скриптинга			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза межсайтовой подделки запроса			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза нарушения изоляции среды исполнения BIOS			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза нарушения целостности данных кэша			0.6	Средняя	Актуальная	Нарушение целостности и доступности
Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза невозможности управления правами пользователей BIOS			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза некорректного использования функционала программного обеспечения			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза неправомерного ознакомления с защищаемой информацией			0.6	Средняя	Актуальная	Нарушение конфиденциальности
Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза неправомерных действий в каналах связи			0.75	Средняя	Актуальная	Нарушение конфиденциальности и целостности
Угроза несанкционированного восстановления удалённой защищаемой информации			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированного доступа к аутентификационной информации			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза несанкционированного изменения аутентификационной информации			0.75	Средняя	Актуальная	Нарушение целостности и доступности
Угроза несанкционированного использования привилегированных функций BIOS			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированного копирования защищаемой информации			0.6	Средняя	Актуальная	Нарушение конфиденциальности
Угроза несанкционированного редактирования реестра			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированного создания учётной записи пользователя			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированного удаления защищаемой информации			0.6	Средняя	Актуальная	Нарушение доступности
Угроза несанкционированного управления буфером			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированного управления синхронизацией и состоянием			0.6	Средняя	Актуальная	Нарушение целостности и доступности
Угроза несанкционированного управления указателями			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза обнаружения открытых портов и идентификации привязанных к нему сетевых служб			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза обнаружения хостов			0.75	Низкая	Актуальная	Нарушение конфиденциальности
Угроза обхода некорректно настроенных механизмов аутентификации			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза опосредованного управления группой программ через совместно используемые данные			0.6	Средняя	Актуальная	Нарушение целостности и доступности
Угроза определения типов объектов защиты			0.6	Средняя	Актуальная	Нарушение конфиденциальности
Угроза определения топологии вычислительной сети			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза отключения контрольных датчиков			0.5	Средняя	Актуальная	Нарушение целостности и доступности
Угроза перебора всех настроек и параметров приложения			0.6	Средняя	Актуальная	Нарушение целостности и доступности
Угроза передачи данных по скрытым каналам			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза переполнения целочисленных переменных			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза перехвата вводимой и выводимой на периферийные устройства информации			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза перехвата данных, передаваемых по вычислительной сети			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза перехвата привилегированного потока			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза перехвата привилегированного процесса			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза повреждения системного реестра			0.75	Средняя	Актуальная	Нарушение целостности и доступности
Угроза повышения привилегий			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза подбора пароля BIOS			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза подделки записей журнала регистрации событий			0.75	Средняя	Актуальная	Нарушение целостности
Угроза подмены действия пользователя путём обмана			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза подмены доверенного пользователя			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза подмены резервной копии программного обеспечения BIOS			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза подмены содержимого сетевых ресурсов			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза подмены субъекта сетевого доступа			0.75	Средняя	Актуальная	Нарушение конфиденциальности и целостности
Угроза получения предварительной информации об объекте защиты			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза преодоления физической защиты			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации			0.6	Средняя	Актуальная	Нарушение доступности
Угроза приведения системы в состояние «отказ в обслуживании»			0.75	Низкая	Актуальная	Нарушение доступности
Угроза программного сброса пароля BIOS			0.6	Низкая	Неактуальная	Нарушение конфиденциальности и целостности
Угроза пропуска проверки целостности программного обеспечения			0.75	Средняя	Актуальная	Нарушение целостности и доступности
Угроза сбоя обработки специальным образом изменённых файлов			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза удаления аутентификационной информации			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов			0.75	Низкая	Актуальная	Нарушение доступности
Угроза установки уязвимых версий обновления программного обеспечения BIOS			0.6	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза утраты вычислительных ресурсов			0.75	Низкая	Актуальная	Нарушение доступности
Угроза утраты носителей информации			0.6	Средняя	Актуальная	Нарушение конфиденциальности и доступности
Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза форматирования носителей информации			0.6	Низкая	Неактуальная	Нарушение целостности и доступности
Угроза «форсированного веб-браузинга»			0.6	Низкая	Неактуальная	Нарушение конфиденциальности
Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации			0.6	Низкая	Неактуальная	Нарушение конфиденциальности и доступности
Угроза эксплуатации цифровой подписи программного кода			0.6	Низкая	Неактуальная	Нарушение конфиденциальности, целостности и доступности
Угроза перехвата исключения/сигнала из привилегированного блока функций			0.75	Низкая	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза заражения компьютера при посещении неблагонадёжных сайтов			0.75	Средняя	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза «кражи» учётной записи доступа к сетевым сервисам			0.6	Средняя	Актуальная	Нарушение конфиденциальности и доступности
Угроза неправомерного шифрования информации				Низкая	Актуальная	Нарушение доступности
Угроза скрытного включения вычислительного устройства в состав бот-сети			0.75	Низкая	Актуальная	Нарушение доступности
Угроза распространения «почтовых червей»			0.75	Низкая	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза «спама» веб-сервера			0.6	Низкая	Неактуальная	Нарушение доступности
Угроза «фарминга»			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза «фишинга»			0.75	Средняя	Актуальная	Нарушение конфиденциальности
Угроза нарушения технологического/производственного процесса из-за временны́ х задержек, вносимых средством защиты			0.75	Низкая	Актуальная	Нарушение доступности
Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью			0.75	Средняя	Актуальная	Нарушение целостности и доступности
Угроза несанкционированного использования системных и сетевых утилит			0.75	Низкая	Актуальная	Нарушение конфиденциальности, целостности и доступности
Угроза несанкционированной модификации защищаемой информации			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза отказа подсистемы обеспечения температурного режима			0.5	Низкая	Неактуальная	Нарушение доступности
Угроза перехвата одноразовых паролей в режиме реального времени			0.6	Низкая	Неактуальная	Нарушение целостности
Угроза физического устаревания аппаратных компонентов			0.5	Низкая	Неактуальная	Нарушение доступности

Перечень актуальных угроз

В соответствии с определёнными актуальными угрозами составлен перечень актуальных угроз безопасности информации НАИМ СИСТЕМЫ Наим орг сокращ:

· Угроза внедрения кода или данных;

· Угроза воздействия на программы с высокими привилегиями;

· Угроза восстановления аутентификационной информации;

· Угроза деструктивного изменения конфигурации/среды окружения программ;

· Угроза длительного удержания вычислительных ресурсов пользователями;

· Угроза доступа к защищаемым файлам с использованием обходного пути;

· Угроза доступа к локальным файлам сервера при помощи URL;

· Угроза доступа/перехвата/изменения HTTP cookies;

· Угроза избыточного выделения оперативной памяти;

· Угроза изменения компонентов системы;

· Угроза изменения системных и глобальных переменных;

· Угроза искажения XML-схемы;

· Угроза искажения вводимой и выводимой на периферийные устройства информации;

· Угроза использования альтернативных путей доступа к ресурсам;

· Угроза использования информации идентификации/аутентификации, заданной по умолчанию;

· Угроза использования механизмов авторизации для повышения привилегий;

· Угроза использования слабостей протоколов сетевого/локального обмена данными;

· Угроза нарушения целостности данных кэша;

· Угроза некорректного использования функционала программного обеспечения;

· Угроза неправомерного ознакомления с защищаемой информацией;

· Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением;

· Угроза неправомерных действий в каналах связи;

· Угроза несанкционированного восстановления удалённой защищаемой информации;

· Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS;

· Угроза несанкционированного доступа к аутентификационной информации;

· Угроза несанкционированного изменения аутентификационной информации;

· Угроза несанкционированного копирования защищаемой информации;

· Угроза несанкционированного редактирования реестра;

· Угроза несанкционированного создания учётной записи пользователя;

· Угроза несанкционированного удаления защищаемой информации;

· Угроза несанкционированного управления буфером;

· Угроза несанкционированного управления синхронизацией и состоянием;

· Угроза обнаружения хостов;

· Угроза обхода некорректно настроенных механизмов аутентификации;

· Угроза опосредованного управления группой программ через совместно используемые данные;

· Угроза определения типов объектов защиты;

· Угроза определения топологии вычислительной сети;

· Угроза отключения контрольных датчиков;

· Угроза перебора всех настроек и параметров приложения;

· Угроза передачи данных по скрытым каналам;

· Угроза перехвата привилегированного потока;

· Угроза перехвата привилегированного процесса;

· Угроза повреждения системного реестра;

· Угроза повышения привилегий;

· Угроза подделки записей журнала регистрации событий;

· Угроза подмены действия пользователя путём обмана;

· Угроза подмены доверенного пользователя;

· Угроза подмены содержимого сетевых ресурсов;

· Угроза подмены субъекта сетевого доступа;

· Угроза получения предварительной информации об объекте защиты;

· Угроза программного выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации;

· Угроза приведения системы в состояние «отказ в обслуживании»;

· Угроза пропуска проверки целостности программного обеспечения;

· Угроза сбоя обработки специальным образом изменённых файлов;

· Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL;

· Угроза удаления аутентификационной информации;

· Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов;

· Угроза установки уязвимых версий обновления программного обеспечения BIOS;

· Угроза утраты вычислительных ресурсов;

· Угроза утраты носителей информации;

· Угроза перехвата исключения/сигнала из привилегированного блока функций;

· Угроза заражения компьютера при посещении неблагонадёжных сайтов;

· Угроза «кражи» учётной записи доступа к сетевым сервисам;

· Угроза неправомерного шифрования информации;

· Угроза скрытного включения вычислительного устройства в состав бот-сети;

· Угроза распространения «почтовых червей»;

· Угроза «фарминга»;

· Угроза «фишинга»;

· Угроза нарушения технологического/производственного процесса из-за временны́ х задержек, вносимых средством защиты;

· Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью;

· Угроза несанкционированного использования системных и сетевых утилит.

Источники разработки

1) Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;

2) Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

3) Приказ ФСТЭК от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

4) Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну содержащихся в государственных информационных системах»;

5) Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

6) Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 15 февраля 2008г.);

7) Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности информации персональных данных, актуальные при обработке персональных данных информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, утверждены руководством 8 центра ФСБ России 31 марта 2015 года № 149/7/2/6-432;

8) Приказ ФСБ России от 10.07. 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищённости» (зарегистрировано в Минюсте России 18.08.2014 г. № 33620);

9) Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (Утверждена Заместителем директора ФСТЭК России 14 февраля 2008 г.);

10) Банк данных угроз безопасности информации ФСТЭК России [электронный ресурс]. Режим доступа: http: //bdu.fstec.ru/threat.

⇐ Предыдущая 1 2 3 4 56