Рисунок 2 – Схема объектов воздействия и содержащейся в них защищаемой информации
5. Источники угроз безопасности информации
Актуальными нарушителями (антропогенными источниками угроз)
безопасности информации для ЭБС и локальной сети библиотеки НГУ являются:
1)хакеры;
2)конкурирующие организации;
3)администраторы ЭБС;
4)авторизованные пользователи ЭБС;
11
Для перечисленных нарушителей определены категории (по признаку принадлежности к системе) и возможные цели реализации ими угроз безопасности информации, которые приведены в таблице 3.
Таблица 3 – Возможные цели реализации угроз безопасности информации для нарушителей в ЭБС НГУ
№ |
Виды актуального |
Категории |
Возможные |
цели |
реализации |
угроз |
|
|
нарушителя |
нарушителя |
безопасности информации |
|
|
||
|
|
|
|
|
|
|
|
1 |
Хакеры |
Внешний |
Получение |
финансовой |
или |
иной |
|
|
|
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|||
2 |
Конкурирующие |
Внешний |
Получение материальной выгоды |
|
|||
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Администраторы |
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
ЭБС |
|
материальной выгоды |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|||
4 |
Авторизованные |
Внутренний |
Получение финансовой или |
материальной |
|||
|
пользователи ЭБС |
|
выгоды |
|
|
|
|
|
|
|
|
||||
|
|
|
Любопытство или желание самореализации |
||||
|
|
|
|
|
|||
|
|
|
Месть за ранее совершенные действия |
|
|||
|
|
|
|
|
|
||
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|
|
В качестве внешнего нарушителя информационной безопасности,
рассматривается нарушитель, который не имеет непосредственного доступа к техническим средствам и ресурсам системы, находящимся в пределах контролируемой зоны ЭБС.
Внутренние нарушители ЭБС имеют разный уровень прав доступа к информационным ресурсам и компонентам системы:
12
1)Авторизованные пользователи ЭБС имеют пользовательские права доступа (доступ в личный кабинет на веб-сайте, к АРМ в читальном зале библиотеки).
2)Администраторы ЭБС имеют привилегированные права доступа
(доступ к соответствующим АРМ и ПО администрирования).
Результат определения актуальных нарушителей при реализации угроз безопасности информации в ЭБС НГУ представлен в таблице 4.
Таблица 4 – Результат определения актуальных нарушителей при реализации угроз безопасности информации в ЭБС НГУ
№ |
Виды риска (ущерба) и |
Виды актуального |
Категория |
Уровень |
|
||
|
возможные |
негативные |
нарушителя |
нарушителя |
возможностей |
||
|
последствия |
|
|
|
|
нарушителя |
|
|
|
|
|
|
|
|
|
1 |
У1: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение |
|
|
|
|
повышенные |
|
|
конфиденциальности (утечка) |
|
|
возможности) |
|||
|
персональных данных; |
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
||
|
нарушение иных прав и свобод |
организации |
|
повышенные |
|||
|
гражданина, закрепленных в |
|
|
|
возможности) |
||
|
Конституции |
РФ |
и |
|
|
|
|
|
Администраторы |
Внутренний |
Н2 |
(базовые |
|||
|
федеральных законах |
|
ЭБС |
|
повышенные |
||
|
|
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
|
|
|
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|
|
|
|
2 |
У2: |
|
|
Хакеры |
Внешний |
Н2 |
(базовые |
|
нарушение законодательства |
|
|
повышенные |
|||
|
РФ; |
|
|
|
|
возможности) |
|
|
необходимость |
|
|
|
|
|
|
|
|
|
Конкурирующие |
Внешний |
Н2 |
(базовые |
|
|
дополнительных |
затрат |
на |
организации |
|
повышенные |
|
|
выплаты штрафов; |
|
|
|
|
возможности) |
|
|
|
|
|
|
|
|
|
13
|
нарушение штатного режима |
Администраторы |
Внутренний |
Н2 |
(базовые |
|
|
функционирования |
ЭБС |
|
повышенные |
||
|
автоматизированной системы; |
|
|
возможности) |
||
|
невозможность решения задач |
|
|
|
|
|
|
или снижение эффективности |
|
|
|
|
|
|
Авторизованные |
Внутренний |
Н1 |
(базовые |
||
|
|
|
||||
|
решения задач; |
|
пользователи ЭБС |
|
возможности) |
|
|
|
|
|
|||
|
публикация |
недостоверной |
|
|
|
|
|
информации на веб-ресурсах |
|
|
|
|
|
|
организации |
|
|
|
|
|
|
|
|
|
|
|
|
6.Способы реализации (возникновения) угроз безопасности информации
Предполагается, что нарушитель уровня Н1 имеет:
1)доступные в свободной продаже технические средства и программное обеспечение.
Предполагается, что нарушитель уровня Н2 имеет:
1)доступные в свободной продаже технические средства и программное обеспечение;
2)специально разработанные технические средства и программное обеспечение.
Актуальные для ЭБС НГУ способы реализации угроз безопасности
информации и соответствующие им виды нарушителей (и их возможности)
представлены в таблице 5.
14
Таблица 5 – Актуальные для ЭБС НГУ способы реализации угроз
безопасности информации и соответствующие им виды нарушителей
№ |
Вид нарушителя |
Категория |
Объект воздействия |
|
Доступные |
|
Способы реализации |
|
|||||
|
|
нарушителя |
|
|
|
интерфейсы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Хакеры, |
Внешний |
База |
|
|
Пользовательски |
Использование |
|
|||||
1 |
Конкурирующие |
|
аутентификационных |
|
й |
веб-интерфейс |
уязвимостей |
проверки |
|||||
|
|
|
|||||||||||
|
организации (Н2) |
|
данных: |
|
|
сайта библиотеки |
данных, |
|
нестойкой |
||||
|
|
|
утечка |
|
|
НГУ |
|
криптографии |
|
и |
|||
|
|
|
аутентификационных |
|
|
|
|
некорректной настройки |
|||||
|
|
|
данных пользователей из |
|
|
|
прав доступа; |
|
|
||||
|
|
|
БД |
|
|
|
|
|
Инъекции |
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
Файловый сервер: |
|
Пользовательски |
Использование |
|
||||||
|
|
|
утечка материалов |
ЭБС, |
й |
интерфейс |
уязвимостей |
|
ПО, |
||||
|
|
|
защищаемых |
авторским |
доступа |
к |
предназначенного |
для |
|||||
|
|
|
правом; |
|
|
файловому |
|
доступа пользователей к |
|||||
|
|
|
нарушение |
|
|
серверу ЭБС |
|
ресурсам |
|
файлового |
|||
|
|
|
функционирования |
ЭБС |
|
|
|
сервера |
|
|
|
|
|
|
|
|
(удаление информации, |
|
|
|
|
|
|
|
|
||
|
|
|
необходимой для решения |
|
|
|
|
|
|
|
|
||
|
|
|
задач ЭБС); |
|
|
|
|
|
|
|
|
|
|
|
|
|
несанкционированная |
|
|
|
|
|
|
|
|
||
|
|
|
модификация, |
подмена, |
|
|
|
|
|
|
|
|
|
|
|
|
искажение информации |
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
Веб-сайт ЭБС: |
|
|
Пользовательски |
Использование |
|
|||||
|
|
|
несанкционированный |
й |
веб-интерфейс |
уязвимостей |
кода |
веб- |
|||||
|
|
|
|
|
|
||||||||
|
|
|
доступ |
|
к |
сайта библиотеки |
сайта |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
пользовательским |
|
НГУ |
|
Обнаружение доступных |
||||||
|
|
|
|
|
|
|
|||||||
|
|
|
аккаунтам и ресурсам веб- |
|
|
|
директорий веб-сайта |
|
|||||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
сайта |
|
|
|
|
|
Обход |
|
|
механизмов |
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
разграничения доступа |
||||
|
|
|
|
|
|
|
|
|
Подбор |
|
|
|
|
|
|
|
|
|
|
|
|
|
аутентификационных |
|
|||
|
|
|
|
|
|
|
|
|
данных пользовательского |
||||
|
|
|
|
|
|
|
|
|
аккаунта |
с |
помощью |
||
|
|
|
|
|
|
|
|
|
специальных |
|
|
||
|
|
|
|
|
|
|
|
|
программных средств или |
||||
|
|
|
|
|
|
|
|
|
вручную |
|
|
|
|
|
|
|
|
|
|
|
|||||||
2 |
Администраторы |
Внутренний |
АРМ, расположенные в |
ПО |
для |
Ошибочные действия при |
|||||||
|
ЭБС (Н2) |
|
библиотеке НГУ: |
|
администрирован |
настройке |
|
ПО |
для |
||||
|
|
|
утечка |
|
|
ия |
системы |
администрирования |
|
||||
|
|
|
аутентификационной |
|
(системные |
и |
Внедрение |
вредоносного |
|||||
|
|
|
информации, |
вводимой |
сетевые утилиты) |
ПО |
через |
средства |
|||||
|
|
|
|
|
|
|
|
|
установки/обновления ПО |
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
15
|
|
|
пользователями |
при |
Оперативное или |
Осуществление |
|
||||
|
|
|
использовании АРМ; |
|
постоянное |
несанкционированного |
|||||
|
|
|
утечка |
электронных |
запоминающее |
доступа к оперативным |
|||||
|
|
|
материалов ЭБС; |
|
устройство АРМ |
или |
|
|
постоянным |
||
|
|
|
нарушение |
|
|
|
запоминающим |
|
|||
|
|
|
функционирования АРМ |
|
устройствам АРМ |
|
|||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
Съемные |
Внедрение |
вредоносного |
|||
|
|
|
|
|
|
носители |
ПО |
через |
|
съемные |
|
|
|
|
|
|
|
информации |
носители информации |
||||
|
|
|
|
|
|
||||||
3 |
Авторизованные |
Внутренний |
АРМ, расположенные в |
АРМ, |
Ошибочные действия при |
||||||
|
пользователи |
|
библиотеке НГУ: |
|
расположенные в |
пользовании АРМ |
|||||
|
ЭБС (Н1) |
|
утечка |
|
|
библиотеке НГУ |
|
|
|
|
|
|
|
|
аутентификационной |
|
|
|
|
|
|
|
|
|
|
|
информации, |
вводимой |
|
|
|
|
|
|
|
|
|
|
пользователями |
при |
Съемные |
Внедрение |
вредоносного |
||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
использовании АРМ; |
|
носители |
ПО |
через |
|
съемные |
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
утечка материалов ЭБС, |
информации |
носители информации |
||||||
|
|
|
|
|
|
|
|
|
|||
|
|
|
защищаемых |
авторским |
|
|
|
|
|
|
|
|
|
|
правом; |
|
|
|
|
|
|
|
|
|
|
|
нарушение |
|
|
|
|
|
|
|
|
|
|
|
функционирования АРМ; |
|
|
|
|
|
|
||
|
|
|
сброс |
состояния |
|
|
|
|
|
|
|
|
|
|
оперативной |
памяти |
|
|
|
|
|
|
|
|
|
|
отдельных |
устройств, |
|
|
|
|
|
|
|
|
|
|
блоков или системы в |
|
|
|
|
|
|
|
|
|
|
|
целом |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
Проводные |
каналы |
Коммутатор |
Подключение |
стороннего |
||||
|
|
|
передачи данных: |
|
локальной сети |
устройства |
|
к |
порту |
||
|
|
|
Перехват |
информации, |
|
коммутатора |
|
|
и |
||
|
|
|
передаваемой по каналам |
|
использование утилит для |
||||||
|
|
|
|
|
|
|
перехвата передаваемой в |
||||
|
|
|
|
|
|
|
сети информации |
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
7. Актуальные угрозы безопасности информации
При разработке описаний возможных угроз безопасности информации
учитывались:
1)актуальные нарушители и уровни их возможностей;
2)объекты воздействия, находящиеся в составе ЭБС;
3)основные способы реализации угроз безопасности информации;
4)возможные негативные последствия реализации угроз.
16
Перечень возможных угроз безопасности информации ЭБС НГУ,
описанных в соответствии с перечисленными выше факторами, приведён в таблице 6.
Таблица 6 – Возможные угрозы безопасности информации ЭБС НГУ
№ |
Наименование угрозы |
Нарушители |
Объекты |
|
Способы реализации |
Возможные последствия |
|||||
|
|
|
|
воздействия |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
Угроза |
утечки |
Хакеры (Н2), |
Файловый |
|
Использование |
|
Утечка материалов |
ЭБС, |
||
|
информации |
|
Конкурирую |
сервер |
|
уязвимостей |
ПО, |
защищаемых |
авторским |
||
|
|
|
щие |
|
|
предназначенного для |
правом; |
нарушение |
|||
|
|
|
организации |
|
|
доступа пользователей |
функционирования |
ЭБС |
|||
|
|
|
(Н2) |
|
|
к ресурсам файлового |
(удаление |
информации, |
|||
|
|
|
|
|
|
сервера |
|
необходимой для решения |
|||
|
|
|
|
|
|
|
|
|
задач |
|
ЭБС); |
|
|
|
|
|
|
|
|
|
несанкционированная |
||
|
|
|
|
|
|
|
|
|
модификация, подмена, |
||
|
|
|
|
|
|
|
|
|
искажение информации |
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Авторизованн |
Проводные |
|
Подключение |
|
Перехват |
информации, |
||
|
|
|
ые |
каналы |
|
стороннего устройства |
передаваемой по каналам |
||||
|
|
|
пользователи |
передачи |
|
к порту коммутатора и |
|
|
|
||
|
|
|
ЭБС (Н1) |
данных |
|
использование утилит |
|
|
|
||
|
|
|
|
|
|
для |
перехвата |
|
|
|
|
|
|
|
|
|
|
передаваемой в |
сети |
|
|
|
|
|
|
|
|
|
|
информации |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
Угроза |
|
Администрато |
АРМ, |
|
Осуществление |
|
Утечка |
|
|
|
|
несанкционированного |
ры ЭБС (Н2) |
расположенные |
несанкционированног |
аутентификационной |
||||||
|
доступа |
|
|
в библиотеке |
о |
доступа |
к |
информации, |
вводимой |
||
|
|
|
|
НГУ |
|
оперативным |
или |
пользователями |
при |
||
|
|
|
|
|
|
постоянным |
|
использовании АРМ |
|
||
|
|
|
|
|
|
запоминающим |
|
|
|
|
|
|
|
|
|
|
|
устройствам АРМ |
|
|
|
||
|
|
|
|
|
|
|
|
||||
|
|
|
Хакеры (Н2), |
Веб-сайт ЭБС, |
Подбор |
|
Несанкционированный |
||||
|
|
|
Конкурирую |
|
|
аутентификационных |
доступ |
|
к |
||
|
|
|
щие |
|
|
данных |
|
|
пользовательским |
|
|
|
|
|
организации |
|
|
пользовательского |
аккаунтам и ресурсам веб- |
||||
|
|
|
(Н2) |
|
|
аккаунта с помощью |
сайта |
|
|
||
|
|
|
|
|
|
специальных |
|
|
|
|
|
|
|
|
|
|
|
программных средств |
|
|
|
||
|
|
|
|
|
|
или вручную |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
Хакеры (Н2), |
Пользовательск |
Использование |
|
Утечка |
|
|
||
|
|
|
Конкурирую |
ий |
веб- |
уязвимостей проверки |
аутентификационных |
||||
|
|
|
щие |
интерфейс |
|
данных |
|
и |
данных пользователей из |
||
|
|
|
|
сайта |
|
некорректной |
|
БД |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
17
|
|
|
организации |
библиотеки |
настройки |
прав |
|
|
|
|
|
(Н2) |
НГУ |
доступа; |
|
|
|
|
|
|
|
|
Инъекции |
|
|
|
|
|
|
|
|
|
|
|
|
3 |
Угроза |
удаления |
Авторизованн |
АРМ, |
Внедрение |
|
Нарушение |
|
|
информационных |
ые |
расположенные |
вредоносного |
ПО |
функционирования АРМ; |
||
|
ресурсов |
|
пользователи |
в библиотеке |
через |
съемные |
уничтожение |
|
|
|
|
ЭБС (Н1), |
НГУ |
носители информации |
электронных материалов |
||
|
|
|
Администрат |
|
|
|
ЭБС |
|
|
|
|
оры ЭБС (Н2) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Авторизованн |
АРМ, |
Ошибочные действия |
Сброс |
состояния |
|
|
|
|
ые |
расположенные |
при пользовании АРМ |
оперативной |
памяти |
|
|
|
|
пользователи |
в библиотеке |
|
|
отдельных |
устройств, |
|
|
|
ЭБС (Н1) |
НГУ |
|
|
блоков или системы в |
|
|
|
|
|
|
|
|
целом |
|
|
|
|
|
|
|
|
|
|
Возможные сценарии реализации угроз безопасности информации для ЭБС НГУ:
1) Возможный сценарий реализации угрозы удаления информационных ресурсов состоит из четырёх последовательных тактик: Т1,
Т2, Т3, Т10 и соответствующих им техник (таблица 7).
Таблица 7 – Сценарий реализации угрозы удаления информационных ресурсов
Тактика |
Техники |
|
|
|
|
|
|
|
|
Т1. Сбор информации о |
Т1.11. Сбор информации о пользователях, устройствах, |
|||
системе |
приложениях, внутренней информации о компонентах |
|||
|
систем и сетей путем применения социальной |
|
||
|
инженерии |
|
|
|
|
|
|||
Т2. Получение |
Т2.7. Использование в системе внешних носителей |
|||
первоначального доступа к |
информации, которые могли подключаться к другим |
|||
компонентам систем и сетей |
системам и быть заражены вредоносным программным |
|||
|
обеспечением |
|
|
|
|
В том числе дарение, подмена или подлог носителей |
|||
|
информации и внешних устройств, содержащих |
|||
|
вредоносное |
программное |
обеспечение |
или |
|
предназначенных для реализации вредоносных функций |
|||
|
|
|
|
|
18
Т3. Внедрение и исполнение |
Т3.1. Автоматический запуск скриптов и исполняемых |
вредоносного программного |
файлов в системе с использованием пользовательских |
обеспечения в системах и |
или системных учетных данных, в том числе с |
сетях |
использованием методов социальной инженерии |
|
|
Т10. Несанкционированный |
Т10.8. Уничтожение информации, включая информацию, |
доступ и (или) воздействие |
хранимую в виде файлов, информацию в базах данных и |
на информационные ресурсы |
репозиториях, информацию на неразмеченных областях |
или компоненты систем и |
дисков и сменных носителей |
сетей, приводящие к |
|
негативным последствиям |
|
|
|
Схема реализации приведенного сценария показана на рисунке 3.
Рисунок 3 – Схема возможного сценария реализации угрозы удаления информационных ресурсов
2) Возможный сценарий реализации угрозы утечки информации состоит из четырёх последовательных тактик: Т1, Т2, Т7, Т10 и
соответствующих им техник (таблица 8). 19
Таблица 8 – Сценарий реализации угрозы утечки информации
Тактика |
Техники |
|
|
|
|
|
|
Т1. Сбор информации о |
Т1.11. Сбор информации о пользователях, устройствах, |
||
системе |
приложениях, внутренней информации о компонентах |
||
|
систем и сетей путем применения социальной |
||
|
инженерии |
|
|
|
|
||
Т2. Получение |
Т2.9. Несанкционированное подключение внешних |
||
первоначального доступа к |
устройств. |
|
|
компонентам систем и сетей |
|
|
|
|
|
||
Т7. Сокрытие действий и |
Т7.1. Использование нарушителем или вредоносной |
||
применяемых при этом |
платформой |
штатных |
инструментов |
средств от обнаружения |
администрирования, утилит и сервисов операционной |
||
|
системы, сторонних утилит, в том числе двойного |
||
|
назначения: использование снифферов (сетевых |
||
|
анализаторов) |
|
|
|
|
||
Т10. Несанкционированный |
Т10.1. Несанкционированный доступ к информации в |
||
доступ и (или) воздействие |
памяти системы, файловой системе, базах данных, |
||
на информационные ресурсы |
репозиториях, в программных модулях и прошивках |
||
или компоненты систем и |
|
|
|
сетей, приводящие к |
|
|
|
негативным последствиям |
|
|
|
|
|
|
|
Схема реализации приведенного сценария показана на рисунке 4.
20