ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ
Результата определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им возможности
№ |
Виды риска (ущерба) и |
Виды |
Категория |
п/п |
возможные негативные |
актуального |
нарушителя |
|
последствия |
нарушителя |
|
1 |
нарушение |
Отдельные |
Внешний |
|
конфиденциальности |
физические лица (хакеры) |
|
|
персональных данных граждан; |
|
|
|
нарушение личной, |
Разработчики |
Внутренний |
|
программных, |
|
|
|
семейной тайны, |
|
|
|
программно- |
|
|
|
утрата |
|
|
|
аппаратных средств |
|
|
|
чести и доброго имени; |
|
|
|
Системные |
Внутренний |
|
|
финансовый, иной |
||
|
администраторы и |
|
|
|
материальный ущерб физических |
администраторы |
|
|
лиц |
безопасности |
|
|
|
|
|
ОПРЕДЕЛЕНИЕ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Определение актуальных способов
реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности
№ |
Вид нарушителя |
Категория |
Объект воздействия |
Доступные |
|
Способы реализации |
||||||
п/п |
|
|
нарушителя |
|
|
|
интерфейсы |
|
|
|
|
|
1 |
Отдельные |
|
Внешний |
Удаленное автоматизированное |
Доступ |
|
через |
Внедрение |
вредоносного |
|||
|
физические |
лица |
|
рабочее |
место |
(АРМ) |
локальную |
|
|
программного обеспечения |
||
|
(хакеры) (Н2) |
|
|
пользователя: |
|
|
вычислительную |
сеть |
|
|
|
|
|
|
|
|
несанкционированный доступ к |
организации |
|
|
|
|
|||
|
|
|
|
операционной системе |
АРМ |
|
|
|
|
|
|
|
|
|
|
|
Съемные |
машинные |
Использование |
|
|||||
|
|
|
|
пользователя; |
|
|
|
|||||
|
|
|
|
|
|
носители |
информации, |
уязвимостей конфигурации |
||||
|
|
|
|
нарушение |
|
|
||||||
|
|
|
|
|
|
подключаемые к |
АРМ |
системы |
управления |
|||
|
|
|
|
конфиденциальности |
|
|||||||
|
|
|
|
|
пользователя |
|
доступом |
к |
АРМ |
|||
|
|
|
|
информации, содержащейся на |
|
|||||||
|
|
|
|
|
|
|
пользователя |
|
|
|||
|
|
|
|
АРМ пользователя |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
Веб-сайт: |
|
Веб-интерфейс |
|
Использование |
|
|||
|
|
|
|
отказ в обслуживании веб-сайта |
пользователя веб-сайта |
уязвимостей |
|
кода |
||||
|
|
|
|
|
|
|
|
|
|
программного обеспечения |
||
|
|
|
|
|
|
|
|
|
|
веб-сервера |
|
|
|
|
|
|
|
|
|
|
|
|
Внедрение |
вредоносного |
|
|
|
|
|
|
|
|
|
|
|
кода в веб-приложение |
||
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
Сетевые интерфейсы |
Использование |
|
|||
|
|
|
|
|
|
|
коммутатора сети, где |
уязвимостей конфигурации |
||||
|
|
|
|
|
|
|
расположен веб-сервер |
системы |
управления |
|||
|
|
|
|
|
|
|
|
|
|
доступом |
|
к |
|
|
|
|
|
|
|
|
|
|
АРМ пользователя |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
База данных информационной |
Веб-интерфейс |
Использование |
||
|
|
|
системы, содержащая |
удаленного |
недекларированных |
||
|
|
|
идентификационную |
администрирования |
возможностей |
||
|
|
|
информацию граждан: |
базы данных |
программного обеспечения |
||
|
|
|
несанкционированный доступ к |
информационной |
телекоммуникационного |
||
|
|
|
компонентам систем или сетей, |
системы |
оборудования |
||
|
|
|
защищаемой |
информации, |
Пользовательский веб- |
Использование |
|
|
|
|
системным, |
|
|
интерфейс доступа к |
уязвимостей конфигурации |
|
|
|
конфигурационным, |
|
иным |
базе данных |
системы управления базами |
|
|
|
служебным данным; |
|
информационной |
данных |
|
|
|
|
утечка |
|
(нарушение |
системы |
|
|
|
|
конфиденциальности) |
|
|
||
|
|
|
защищаемой |
|
|
|
|
|
|
|
информации, |
|
системных, |
|
|
|
|
|
конфигурационных, |
иных |
|
|
|
|
|
|
служебных данных |
|
|
|
|
Основные тактики и соответствующие им типовые техники, используемые для построения сценариев реализации угроз безопасности информации
№ |
|
|
Тактика |
|
|
Основные техники |
Т1 |
Сбор информации о системах и сетях |
|
|
T1.1. Сбор информации из публичных источников: |
||
|
Тактическая задача: нарушитель стремится получить |
|
официальный сайт (сайты) организации, СМИ, |
|||
|
любую техническую информацию, которая может |
|
социальные сети, фотобанки, сайты поставщиков и |
|||
|
оказаться полезной в ходе реализации угроз безопасности |
вендоров, материалы конференций |
||||
|
информации |
|
|
|
|
|
Т2 |
Получение первоначального доступа к компонентам систем и |
Т2.10. Несанкционированный доступ путем подбора учетных |
||||
|
сетей. |
|
|
|
|
данных сотрудника или легитимного пользователя (методами |
|
Тактическая задача: нарушитель, находясь вне инфраструктуры |
прямого перебора, словарных атак, паролей производителей по |
||||
|
сети или системы, стремится получить доступ к любому узлу в |
умолчанию, использования одинаковых паролей для разных |
||||
|
инфраструктуре и использовать его как плацдарм для |
учетных |
||||
|
дальнейших действий. |
|
|
|
записей, применения «радужных» таблиц или другими) |
|
Т3 |
Внедрение и исполнение вредоносного программного |
Т3.2. Активация и выполнение вредоносного кода, внедренного |
||||
|
обеспечения в системах и сетях |
|
|
в виде закладок в легитимное программное и программное- |
||
|
|
|
|
|
|
аппаратное обеспечение систем и сетей |
|
Тактическая задача: получив доступ к узлу сети или системы, |
|
||||
|
нарушитель стремится внедрить в его |
|
|
|
||
|
|
|
|
|
||
Т1 |
Несанкционированный доступ и (или) |
воздействие |
на |
Т10.1. Несанкционированный доступ к информации в памяти |
||
0 |
информационные ресурсы или компоненты систем и сетей, |
системы, файловой системе, базах данных, репозиториях, в |
||||
|
приводящие |
к |
негативным последствиям |
|
программных модулях и прошивках |
|
|
Тактическая задача: достижение нарушителем конечной цели, |
Т10.7. Подмена информации (например, платежных |
||||
|
приводящее к |
реализации моделируемой |
угрозы и |
реквизитов) в памяти или информации, хранимой в виде |
||
|
причинению недопустимых |
негативных |
|
файлов, информации в базах данных и репозиториях, |
||
|
последствий |
|
|
|
|
информации на |
|
|
|
|
|
|
неразмеченных областях дисков и сменных носителей |
Рисунок 2 – варианты сценариев для внешнего нарушителя
Рисунок 3 – варианты сценариев для внутреннего нарушителя
ВЫВОДЫ
В ходе практической работы была выбрана область на основе собранных материалов по информационной системе «АО МИКРОН», изучены виды работ по определению необходимого уровня защищенности персональных данных данной системы. Проведён анализ уровня защищенности и реализации требований к информационной системе в соответствии с руководящими документами ФСТЭК: "Методика оценки угроз безопасности информации" утвержденная ФСТЭК России 5 февраля 2021г.
АО «МИКРОН» имеет 5 класс защищённости по ФСТЭК, т.к. имеет дискреционный принцип контроля доступа, тестовую и проектную документации, руководство пользователя, проходит через несколько этапов тестирования.