- •Идентификация телекоммуникационной системы организации
- •1.1 Анализ задач, решаемых телекоммуникационной системой и определение информации, циркулирующей в телекоммуникационной системе, в том числе иод
- •1.2 Идентификация информационных процессов, с помощью которых реализуются задачи деятельности организации
- •1.3 Разработка структуры тс организации и идентификация технических средств обработки информации
- •1.4. Разработка технологического процесса обработки информации в телекоммуникационной системе организации
- •Технологический процесс обработки информации на рабочем месте тс
- •1 Общие сведения
- •2 Назначение тс
- •3.4 Состав средств защиты информации
- •4 Технологический процесс обработки информации
- •4.1 Персонал тс
- •4.1.1 Вспомогательная категория персонала тс
- •4.1.2 Основная категория персонала на рабочем месте тс
- •5 Описание технологии обработки информации
- •5.1 Основной технологический процесс обработки информации
- •5.2 Вспомогательный технологический процесс обработки информации
- •6 Требования к обеспечению режима безопасности
- •Анализ технических каналов утечки информации
- •Разработка описания угроз
- •Формирование экспертной группы
- •Справочные данные о факторах угрозы.
- •Получение оценок вероятности каждой угрозы
- •Представление оценок вероятности каждой угрозы и группирование угроз
- •Оценка фактического состояния реализации требований заданных классов защищенности ас, мэ и свт
- •Оценка возможности реализации угроз в тс и выработка рекомендаций по повышению защищенности
- •Разработка документационного обеспечения процесса аттестации объектов информатизации
- •Классификации телекоммуникационной системы газонаполнительной станции г. Пенза
Разработка описания угроз
Дисциплина: |
ОДкИБТКС |
Группа: |
11ПТ1 |
Выполнила: |
Цыганова В.А. |
Вариант задания: |
Газонаполнительная станция |
Принял: |
Алексеев В.М. |
Пенза 2016
Исходный список угроз:
нарушение целостности защищаемой информации;
нарушение доступности защищаемой информации.
Детализация исходного списка угроз приведена в таблице 1. Детализированные угрозы безопасности информации были подобраны на основе данных, приведённых в банке данных угроз безопасности информации ФСТЭК России.
Для каждой из выбранных угроз были выбраны соответствующие уязвимости, которые представлены в банке данных угроз безопасности информации ФСТЭК России.
Список актуальных уязвимостей ИС газонаполнительной станции представлен в таблице 2.
По итогам практического занятия были разработаны детальные описания всех идентифицированных ранее угроз с указанием защищаемых информационных ресурсов, методов нападения, источников угроз и т.д.
Детальные описания угроз приведены в таблицах 3 – 6.
Таблица 1 – Детализация исходного перечня угроз |
||||
Ид-р угрозы |
Наименование угрозы |
Описание угрозы |
Источники угрозы |
Объект воздействия |
Нарушение целостности защищаемой информации |
||||
УБИ.006 |
Угроза внедрения кода или данных |
Угроза заключается в возможности внедрения нарушителем в дискредитируемую информационную систему вредоносного кода, который может быть в дальнейшем запущен «вручную» пользователями или автоматически при выполнении определённого условия (наступления определённой даты, входа пользователя в систему и т.п.), а также в возможности несанкционированного внедрения нарушителем некоторых собственных данных для обработки в дискредитируемую информационную систему, фактически осуществив незаконное использование чужих вычислительных ресурсов. |
Внешний нарушитель с низким потенциалом |
Системное и прикладное ПО, сетевое ПО |
УБИ.027 |
Угроза искажения вводимой и выводимой на периферийные устройства информации |
Угроза заключается в возможности дезинформирования пользователей или автоматических систем управления путём подмены или искажения исходных данных, поступающих от датчиков, клавиатуры или других устройств ввода информации, а также подмены или искажения информации, выводимой на принтер, дисплей оператора или на другие периферийные устройства. |
Внутренний нарушитель с низким потенциалом Внешний нарушитель с высоким потенциалом |
Системное ПО, прикладное ПО, сетевое ПО, аппаратное обеспечение |
УБИ.158 |
Угроза форматирования носителей информации |
Угроза заключается в возможности утраты хранящейся на форматируемом носителе информации, зачастую без возможности её восстановления, из-за преднамеренного или случайного выполнения процедуры форматирования носителя информации. |
Внутренний/внешний нарушитель с низким потенциалом |
Носитель информации |
Нарушение доступности защищаемой информации |
||||
УБИ.006 |
Угроза внедрения кода или данных |
Угроза заключается в возможности внедрения нарушителем в дискредитируемую информационную систему вредоносного кода, который может быть в дальнейшем запущен «вручную» пользователями или автоматически при выполнении определённого условия (наступления определённой даты, входа пользователя в систему и т.п.), а также в возможности несанкционированного внедрения нарушителем некоторых собственных данных для обработки в дискредитируемую информационную систему, фактически осуществив незаконное использование чужих вычислительных ресурсов. |
Внешний нарушитель с низким потенциалом |
Системное ПО, прикладное ПО, сетевое ПО |
УБИ.140 |
Угроза приведения системы в состояние «отказ в обслуживании» |
Угроза заключается в возможности отказа дискредитированной системой в доступе легальным пользователям при лавинообразном увеличении числа сетевых соединений с данной системой.
|
Внутренний/внешний нарушитель с низким потенциалом |
ИС, сетевой узел, системное ПО, сетевое ПО, сетевой трафик |
УБИ.158 |
Угроза форматирования носителей информации |
Угроза заключается в возможности утраты хранящейся на форматируемом носителе информации, зачастую без возможности её восстановления, из-за преднамеренного или случайного выполнения процедуры форматирования носителя информации. |
Внутренний/внешний нарушитель с низким потенциалом |
Носитель информации |
Таблица 2 – Список актуальных уязвимостей ИС |
||||||||
Идент-р |
Наимен. |
Описание |
Тип ПО |
Наим. и версия ПО |
Идент-р и тип ошибки |
Класс уязв. |
Уровень опасности |
Возможные меры по устранению уязвимости |
2015-11675 |
Уязвимость средства антивирусной защиты Kaspersky Anti-Virus, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код |
Уязвимость средства антивирусной защиты Kaspersky Anti-Virus вызвана повреждением памяти при распаковке исполняемых файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код при помощи исполняемого файла, упакованного пакером "Yoda's Protector", в ходе его проверки средством антивирусной защиты |
Программное средство защиты |
Kaspersky Anti-Virus v.15 |
CWE-119: Выход операции за границы буфера в памяти |
Уязвимость кода |
Критический |
Обновление ПО в автоматическом режиме через центр обновлений ЗАО «Лаборатория Касперского» |
2014-00184 |
Уязвимость программной платформы Microsoft .NET Framework, позволяющая злоумышленнику повысить уровень привилегий |
Microsoft .NET Framework содержит уязвимость, связанную с проверками TypeFilterLevel. Эксплуатация данной уязвимости позволяет повысить уровень существующих в .NET Framework привилегий |
ПО виртуализации/ ПО виртуального программно-аппаратного средства |
Microsoft .NET Framework: - 3.5 - 1.1 SP1 - 4.5 - 3.5.1 - 4.5.1 - 2.0 SP2 - 4.0 |
CWE-94: Неверное управление генерацией кода (Внедрение кода) |
Уязвимость кода |
Критический уровень опасности |
Установка обновления в соответствии с информацией, содержащейся в бюллетене ms14-026 |
2015-00620 |
Уязвимость ПО Microsoft Office, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации |
Уязвимость, позволяющая удаленно выполнить код, существует в уязвимых компонентах и связана с обработкой специально сформированных файлов шрифтов. Эксплуатация данной уязвимости позволяет удаленно выполнить код при условии открытия пользователем специально сформированного файла или веб-страницы. Эксплуатация данной уязвимости позволяет злоумышленнику получить полный контроль над системой; после чего он может устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи с полными правами администратора. |
Прикладное ПО информационных систем |
Microsoft Office: 2010 SP2 2010 SP1 2007 SP3 |
|
|
Высокий уровень опасности |
Использование рекомендаций производителя |
2015-00364 |
Уязвимость ПО Kaspersky Anti-Virus, позволяющая злоумышленнику нарушить доступность защищаемой информации |
Уязвимости в Kaspersky AntiVirus позволяют локальным пользователям вызвать отказ в обслуживании, используя специальные вызовы со специально сформированным параметром. |
Программное средство защиты |
Kaspersky Anti-Virus от 6.0 до 8.0 |
|
|
Средний уровень опасности |
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. |
Таблица 3 – Описание угрозы внедрения кода или данных
Угроза внедрения кода или данных (УБИ.006) |
|
Фактор угрозы |
Описание параметра |
Тип источника угрозы |
Внешний нарушитель |
Вид источника угрозы |
Пользователи ИС |
Потенциал источника угрозы |
Низкий |
Объект воздействия |
Системное и прикладное ПО |
Последствия от реализации угрозы |
Нарушение целостности, доступности |
Результат реализации угрозы (степень возможного ущерба) |
Средний |
Целевой объект нападения (объект защиты в ТС) |
БД, содержащая информацию о параметрах технологических процессов, информацию о поставщиках и клиентах, персональные данные сотрудников. |
Место воздействия в структуре ТС |
АРМ сотрудников Локальные сервера БД |
Уязвимости и их источники
Способ реализации угрозы |
2015-11675: Уязвимость средства антивирусной защиты Kaspersky Anti-Virus, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.
Выполнение исполняемого файла, упакованного пакером "Yoda's Protector", в ходе его проверки средством антивирусной защиты. Yoda's Protector - это упаковщик EXE-файлов и протектор файлов с некоторыми специальными возможностями для Microsoft Windows. Упаковка заключается в сжатии исполняемого файла и прикреплении к нему кода, необходимого для распаковки и исполнения. При проверке упакованного файла антивирус пытается его распаковать, что может привести к выполнению вредоносного кода. |
Уязвимости и их источники
Способ реализации угрозы |
2015-00620: Уязвимость ПО Microsoft Office, позволяющая удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации
Внедрение кода в специально сформированный файл шрифтов, выполнение которого произойдет в случае его использования. Чтобы реализовать такую атаку, злоумышленнику достаточно вынудить пользователя открыть специально сконструированный документ, веб-страницу или запустить специальное приложение, которое загружает шрифт с вредоносным кодом из внешнего источника. |
Таблица 4 – Описание угрозы искажения вводимой и выводимой на периферийные устройства информации
Угроза искажения вводимой и выводимой на периферийные устройства информации (УБИ.027) |
|
Фактор угрозы |
Описание параметра |
Тип источника угрозы |
Внутренний нарушитель Внешний нарушитель |
Вид источника угрозы |
Пользователи ИС |
Потенциал источника угрозы |
Внутренний нарушитель с низким потенциалом Внешний нарушитель с высоким потенциалом |
Объект воздействия |
Системное ПО, прикладное ПО, сетевое ПО, аппаратное обеспечение |
Последствия от реализации угрозы |
Нарушение целостности |
Результат реализации угрозы (степень возможного ущерба) |
Низкий |
Целевой объект нападения (объект защиты в ТС) |
БД, содержащая информацию о параметрах технологических процессов, информацию о поставщиках и клиентах, персональные данные сотрудников. |
Место воздействия в структуре ТС |
АРМ сотрудников
|
Уязвимости и их источники
Способ реализации угрозы |
2015-11675: Уязвимость средства антивирусной защиты Kaspersky Anti-Virus, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.
Выполнение исполняемого файла, упакованного пакером "Yoda's Protector", в ходе его проверки средством антивирусной защиты. Yoda's Protector - это упаковщик EXE-файлов и протектор файлов с некоторыми специальными возможностями для Microsoft Windows. Упаковка заключается в сжатии исполняемого файла и прикреплении к нему кода, необходимого для распаковки и исполнения. При проверке упакованного файла антивирус пытается его распаковать, что может привести к выполнению вредоносного кода. |
Таблица 5 – Описание угрозы форматирования носителей информации
Угроза форматирования носителей информации (УБИ.158) |
|
Фактор угрозы |
Описание параметра |
Тип источника угрозы |
Внутренний нарушитель |
Вид источника угрозы |
Пользователи ИС |
Потенциал источника угрозы |
Низкий |
Объект воздействия |
Носитель информации |
Последствия от реализации угрозы |
Нарушение целостности и доступности |
Результат реализации угрозы (степень возможного ущерба) |
Высокий |
Целевой объект нападения (объект защиты в ТС) |
Носители информации (жесткий диск, USB-накопитель и др.) |
Место воздействия в структуре ТС |
АРМ сотрудников Локальные сервера БД |
Уязвимости и их источники
Способ реализации угрозы |
2016-00493: Уязвимость операционной системы Windows, позволяющая нарушителю повысить свои привилегии
Создание специального приложения с целью повышения своих привилегий |
Уязвимости и их источники
Способ реализации угрозы |
2014-00184: Уязвимость программной платформы Microsoft .NET Framework, позволяющая злоумышленнику повысить уровень привилегий
При проведении проверки TypeFilterLevel платформа Microsoft .NET Framework входит в состояние исключения и открывает доступ к повышению привилегий пользователя. Проверка TypeFilterLevel определяет возможность восстановления начального состояния структуры данных из битовой последовательности. Неправильное разграничение доступа к памяти позволяет удаленному злоумышленнику выполнить произвольный код с помощью векторов, связанных с искаженным объектом. |
Таблица 6 – Описание угрозы приведения системы в состояние «отказ в обслуживании»
Угроза приведения системы в состояние «отказ в обслуживании» (УБИ.140) |
|
Фактор угрозы |
Описание параметра |
Тип источника угрозы |
Внешний нарушитель |
Вид источника угрозы |
Пользователи ИС |
Потенциал источника угрозы |
Низкий |
Объект воздействия |
ИС, сетевой узел, системное ПО, сетевое ПО, сетевой трафик |
Последствия от реализации угрозы |
Нарушение доступности, целостности |
Результат реализации угрозы (степень возможного ущерба) |
Средний |
Целевой объект нападения (объект защиты в ТС) |
БД, содержащая информацию о параметрах технологических процессов, информацию о поставщиках и клиентах, персональные данные сотрудников. |
Место воздействия в структуре ТС |
Локальные сервера БД |
Уязвимости и их источники
Способ реализации угрозы |
2015-00364: Уязвимость ПО Kaspersky Anti-Virus, позволяющая злоумышленнику нарушить доступность защищаемой информации
Уязвимость существует из-за ошибки в драйвере klif.sys при обработке параметров перехваченной функции. Злоумышленник может вызвать функции NtCreateKey, NtCreateProcess, NtCreateProcessEx, NtCreateSection, NtCreateSymbolicLinkObject, NtCreateThread, NtLoadKey2, NtOpenKey и NtOpenProcess со специально сформированными параметрами и вызвать отказ в обслуживании приложения. |
Уязвимости и их источники
Способ реализации угрозы |
2015-11675: Уязвимость средства антивирусной защиты Kaspersky Anti-Virus, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код.
Выполнение исполняемого файла, упакованного пакером "Yoda's Protector", в ходе его проверки средством антивирусной защиты. Yoda's Protector - это упаковщик EXE-файлов и протектор файлов с некоторыми специальными возможностями для Microsoft Windows. Упаковка заключается в сжатии исполняемого файла и прикреплении к нему кода, необходимого для распаковки и исполнения. При проверке упакованного файла антивирус пытается его распаковать, что может привести к выполнению вредоносного кода. |
Министерство образования и науки РФ
ФГБОУ ВПО «ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Кафедра «Информационная безопасность систем и технологий»
ОТЧЁТ
о практической работе №4-5