Определения объектов воздействия и видов воздействия на них
Негативные |
Объекты воздействия |
Виды воздействия |
|
последствия |
|
|
|
|
|
|
|
|
База данных |
Утечка идентификационной информации |
|
|
информационной |
граждан из базы данных |
|
|
системы, содержащая |
|
|
|
идентификационную |
|
|
|
информацию граждан |
|
|
Разглашение |
Удаленное |
Утечка идентификационной информации |
|
автоматизированное |
граждан с АРМ пользователя |
||
персональных |
|||
рабочее место (АРМ) |
|
||
данных граждан |
|
||
пользователя |
|
||
(У1) |
|
||
Веб-приложение |
Несанкционированный доступ к |
||
|
|||
|
информационной |
идентификационной информации граждан, |
|
|
системы, |
содержащейся в веб-приложении |
|
|
обрабатывающей |
||
|
информационной системы |
||
|
идентификационную |
||
|
|
||
|
информацию граждан |
|
|
Нарушение |
База данных |
Утечка идентификационной информации |
|
законодательства |
информационной |
граждан из базы данных |
|
Российской |
системы, содержащая |
|
|
идентификационную |
|
||
Федерации. |
|
||
информацию граждан |
|
||
(У2) |
|
||
|
|
||
|
|
|
ОПРЕДЕЛЕНИЕ УСЛОВИЙ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Цели реализации угроз безопасности информации нарушителями
№ |
Виды |
|
Категории |
Возможные цели реализации угроз |
||||
вида |
нарушителя |
|
нарушителя |
безопасности информации |
|
|||
1 |
Отдельные физические |
Внешний |
Получение |
финансовой |
или |
иной |
||
|
лица (хакеры) |
|
|
материальной выгоды. |
|
|
||
|
|
|
|
Любопытство |
|
или |
желание |
|
|
|
|
|
самореализации (подтверждение статуса) |
||||
2 |
Разработчики |
|
Внутренний |
Внедрение |
|
дополнительных |
||
|
программных, |
|
|
функциональных |
возможностей |
в |
||
|
программно- |
|
|
программные |
или |
программно- |
||
|
аппаратных средств |
|
|
аппаратные средства на этапе разработки. |
||||
|
|
|
|
Получение конкурентных преимуществ. |
||||
|
|
|
|
Получение |
финансовой |
или |
иной |
|
|
|
|
|
материальной выгоды. |
|
|
||
|
|
|
|
Непреднамеренные, |
неосторожные |
или |
||
|
|
|
|
неквалифицированные действия |
|
|||
3 |
Системные |
|
Внутренний |
Получение |
финансовой |
или |
иной |
|
|
администраторы |
и |
|
материальной выгоды. |
|
|
||
|
администраторы |
|
|
Любопытство |
|
или |
желание |
|
|
безопасности |
|
|
самореализации (подтверждение статуса). |
||||
|
|
|
|
Месть за ранее совершенные действия. |
||||
|
|
|
|
Непреднамеренные, неосторожные или |
||||
|
|
|
|
неквалифицированные действия |
|
|||
|
|
|
|
|
|
|||
4 |
Поставщики |
|
Внутренний |
Получение финансовой или иной |
|
|||
|
вычислительных услуг, |
|
материальной выгоды. |
|
|
|
||
|
услуг связи |
|
|
Непреднамеренные, неосторожные или |
||||
|
|
|
|
|||||
|
|
|
|
неквалифицированные действия. |
|
|||
|
|
|
|
Получение конкурентных преимуществ |
||||
|
|
|
|
|
||||
5 |
Лица, привлекаемые для |
Внутренний |
Получение финансовой или иной |
|
||||
|
установки, настройки, |
|
материальной выгоды. Непреднамеренные, |
|||||
|
испытаний, |
|
|
неосторожные или неквалифицированные |
||||
|
пусконаладочных и |
|
|
действия. |
|
|
|
|
|
иных видов работ |
|
|
Получение конкурентных преимуществ |
||||
|
|
|
|
|
|
|
|
|
Оценка целей реализации нарушителями угроз безопасности информации в зависимости от возможных негативных последствий и видов ущерба от их реализации
(для государственной информационной системы)
Виды |
|
Возможные цели реализации угроз |
Соответствие целей видамриска (ущерба) и |
|
нарушителей |
|
безопасности информации |
возможным негативным последствиям |
|
|
|
Нанесение ущерба физическому лицу |
|
|
|
|
|
|
|
Отдельные физические |
+ |
У1 |
||
лица (хакеры) |
|
(получение финансовой выгоды за счет шантажа клиентов) |
(утечка и разглашение персональных данных |
|
|
|
|
пользователей) |
|
|
|
|
|
|
|
|
|
|
|
Разработчики |
+ |
У1 |
|
|
программных, |
|
(передача информации о пользователях лице третьим лицам) |
(нарушение конфиденциальности персональных |
|
программно- |
|
|
данных граждан) |
|
аппаратных средств |
|
|
У2 |
|
|
|
|
(утечка и разглашение персональных данных |
|
|
|
|
пользователей) |
|
|
|
|
|
|
|
|
|
|
|
Системные |
|
+ |
У1 |
|
администраторы и |
|
(передача информации о пользователях лице третьим лицам) |
(нарушение конфиденциальности персональных |
|
администраторы |
|
|
данных граждан) |
|
безопасности |
|
|
У2 |
|
|
|
|
(утечка и разглашение персональных данных |
|
|
|
|
пользователей) |
|
|
|
|
|
|
ОПРЕДЕЛЕНИЕ ИСТОЧНИКОВ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ
Результата определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им возможности
№ |
Виды риска (ущерба) и |
Виды |
Категория |
п/п |
возможные негативные |
актуального |
нарушителя |
|
последствия |
нарушителя |
|
2 |
У1: |
Отдельные |
Внешний |
|
нарушение |
физические лица(хакеры) |
|
|
конфиденциальности |
|
|
|
персональных данных граждан; |
Разработчики |
Внутренний |
|
|
|
|
|
нарушение личной, |
программных, |
|
|
программно- |
|
|
|
семейной тайны, утрата |
|
|
|
аппаратных средств |
|
|
|
чести и доброго имени; |
|
|
|
Системные |
Внутренний |
|
|
финансовый, иной |
||
|
администраторы и |
|
|
|
|
|
|
|
материальный ущерб физических |
администраторы |
|
|
лиц |
безопасности |
|
|
|
|
|
|
|
Отдельные физические |
Внешний |
|
|
лица (хакеры) |
|
|
|
|
|
|
У2: |
Разработчики |
Внутренний |
|
программных, |
|
|
|
потеря клиентов; |
|
|
|
программно- |
|
|
|
нарушение деловой репутации; |
|
|
|
аппаратных средств |
|
|
|
|
|
|
|
|
Системные |
Внутренний |
|
|
администраторы и |
|
|
|
администраторы |
|
|
|
безопасности |
|
ОПРЕДЕЛЕНИЕ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Определение актуальных способов
реализации угроз безопасности информациии соответствующие им виды нарушителей и их возможности
№ |
Вид нарушителя |
Категория |
Объект воздействия |
Доступные |
|
Способы реализации |
||||||
п/п |
|
|
нарушителя |
|
|
|
интерфейсы |
|
|
|
|
|
1 |
Отдельные |
|
Внешний |
Удаленное автоматизированное |
Доступ |
|
через |
Внедрение |
вредоносного |
|||
|
физические |
лица |
|
рабочее |
место |
(АРМ) |
локальную |
|
|
программного обеспечения |
||
|
(хакеры) (Н2) |
|
|
пользователя: |
|
|
вычислительную |
сеть |
|
|
|
|
|
|
|
|
несанкционированный доступ к |
организации |
|
|
|
|
|||
|
|
|
|
операционной системе |
АРМ |
|
|
|
|
|
|
|
|
|
|
|
Съемные |
машинные |
Использование |
|
|||||
|
|
|
|
пользователя; |
|
|
|
|||||
|
|
|
|
|
|
носители |
информации, |
уязвимостей конфигурации |
||||
|
|
|
|
нарушение |
|
|
||||||
|
|
|
|
|
|
подключаемые к |
АРМ |
системы |
управления |
|||
|
|
|
|
конфиденциальности |
|
|||||||
|
|
|
|
|
пользователя |
|
доступом |
к |
АРМ |
|||
|
|
|
|
информации, содержащейся на |
|
|||||||
|
|
|
|
|
|
|
пользователя |
|
|
|||
|
|
|
|
АРМ пользователя |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
Веб-интерфейс |
|
Использование |
|
||
|
|
|
|
|
|
|
пользователя веб-сайта |
уязвимостей |
|
кода |
||
|
|
|
|
|
|
|
|
|
|
программного обеспечения |
||
|
|
|
|
|
|
|
|
|
|
веб-сервера |
|
|
|
|
|
|
|
|
|
|
|
|
Внедрение |
вредоносного |
|
|
|
|
|
Веб-сайт: |
|
|
|
|
кода в веб-приложение |
|||
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
отказ в обслуживании веб-сайта |
|
|
|
|
|
|
||
|
|
|
|
Сетевые интерфейсы |
Использование |
|
||||||
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
коммутатора сети, где |
уязвимостей конфигурации |
||||
|
|
|
|
|
|
|
расположен веб-сервер |
системы |
управления |
|||
|
|
|
|
|
|
|
|
|
|
доступом |
|
к |
|
|
|
|
|
|
|
|
|
|
АРМ пользователя |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным,
конфигурационным, иным служебным данным;
утечка (нарушение конфиденциальности) защищаемой
информ ации, системных, конфигурационных, иных служебных данных
Веб-интерфейс |
Использование |
удаленного |
недекларированных |
администрирования |
возможностей |
базы данных |
программного обеспечения |
информационной |
телекоммуникационного |
системы |
оборудования |
|
|
Пользовательский веб- |
Использование |
интерфейс доступа к |
уязвимостей конфигурации |
базе данных |
системы управления базами |
информационной |
данных |
|
|
системы |
|
|
|
Основные тактики и соответствующие им типовые техники, используемые для построения сценариев реализации угроз безопасности информации
№ |
|
|
Тактика |
|
|
|
|
|
Основные техники |
Т1 |
Сбор информации о системах и сетях |
|
|
|
|
|
T1.1. Сбор информации из публичных источников: |
||
|
Тактическая задача: нарушитель стремится получить |
|
|
|
официальный сайт (сайты) организации, СМИ, |
||||
|
любую техническую информацию, которая может |
|
|
|
|
социальные сети, фотобанки, сайты поставщиков и |
|||
|
оказаться полезной в ходе реализации угроз безопасности |
|
|
вендоров, материалы конференций |
|||||
|
информации |
|
|
|
|
|
|
|
|
Т2 |
Получение первоначального доступа к компонентам систем и |
Т2.10. Несанкционированный доступ путем подбора учетных |
|||||||
|
сетей. |
|
|
|
|
|
|
|
данных сотрудника или легитимного пользователя (методами |
|
Тактическая задача: нарушитель, находясь вне инфраструктуры |
прямого перебора, словарных атак, паролей производителей по |
|||||||
|
сети или системы, |
стремится получить доступ к |
любому узлу в |
умолчанию, использования одинаковых паролей для разных |
|||||
|
инфраструктуре и использовать его как плацдарм для |
учетных |
|||||||
|
дальнейших действий. |
|
|
|
|
|
записей, применения «радужных» таблиц или другими) |
||
|
|
|
|
|
|
||||
Т3 |
Внедрение и исполнение вредоносного программного |
|
|
|
Т3.2. Активация и выполнение вредоносного кода, внедренного |
||||
|
обеспечения в системах и сетях |
|
|
|
|
|
в виде закладок в легитимное программное и программное- |
||
|
|
|
|
|
|
|
|
|
аппаратное обеспечение систем и сетей |
|
Тактическая задача: получив доступ к узлу сети или системы, |
|
|||||||
|
нарушитель стремится внедрить в его программную |
среду |
|
|
|||||
|
инструментальные |
средства, необходимые ему для дальнейших |
|
||||||
|
действий |
|
|
|
|
|
|
|
|
Т10 |
Несанкционированный доступ и (или) |
воздействие |
на |
|
|
Т10.1. Несанкционированный доступ к информации в памяти |
|||
|
информационные |
ресурсы или компоненты систем |
и |
сетей, |
системы, файловой системе, базах данных, репозиториях, в |
||||
|
приводящие |
к |
негативнымпоследствиям |
|
|
|
программных модулях и прошивках |
||
|
|
|
|
|
|||||
|
Тактическая задача: |
достижение нарушителем конечной |
цели, |
Т10.7. Подмена информации (например, платежных |
|||||
|
реквизитов) в памяти или информации,хранимой в виде |
||||||||
|
приводящее к |
реализации моделируемой |
угрозы |
и |
|||||
|
файлов, информации в базах данных и репозиториях, |
||||||||
|
причинению недопустимых |
негативных |
|
|
|
||||
|
|
|
|
информации на |
|||||
|
последствий |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
неразмеченных областях дисков и сменных носителей |
|
|
|
|
|
|
|
|
|
|
|
Рисунок 2 – Т1.1. сбор информации из открытых источников
Рисунок 3 – Т2.1. Несанкционированный доступ путем подбора учетных данных сотрудника
Рисунок 4 - Т3.2 Активация и выполнение вредоносного кода, внедренного в виде закладок
Рисунок 5 – Т10.1. Несанкционированный доступ к информации в базе данных и Т10.7. Подмена информации в базе данных
ВЫВОДЫ
В ходе практической работы была выбрана область на основе собранных материалов по информационной системе ПАО Ростелеком, изучены виды работ по определению необходимого уровня защищенности персональных данных данной системы. Проведён анализ уровня защищенности и реализации требований к информационной системе в соответствии с руководящими документами ФСТЭК: "Методика оценки угроз безопасности информации"
утвержденная ФСТЭК России 5 февраля 2021г.
ИС «ПАО Ростелеком» необходима ИСПДН-И, т.к. обрабатываются персональные данные о клиентах и сотрудниках компании, отличные от общедоступных. Кол-во обрабатываемых субъектов > 100000. Актуальные угрозы соответствуют АУ1 с 3-им уровнем значимости ИСПДн (УЗ 3).