6. Способы реализации угроз безопасности информации
Таблица 6 – описание уровней нарушителей
Уровень нарушителя |
Возможности |
H1 |
Технические средства и программное обеспечение |
Знания о известных уязвимостях |
|
Базовые компьютерные знания и навыки |
|
Н2 |
Возможности нарушителя Н1 |
Утилиты, доступные в Интернете/разработанные другими лицами. |
|
Практические знания о эксплуатации систем |
Таблица 7 – актуальные способы реализации угроз безопасности информации и соответствующие им виды нарушителей
Вид нарушителя, категория |
Объекты воздействия |
Доступные интерфейсы |
Способы реализации |
Хакеры (H2), внешний |
CУБД, сотрудники |
Веб-сайт компании, электронная почта, территория предприятия. |
Использование уязвимостей, инъекций, социальной инженерии. |
Конкуренты (H2), внешний |
|||
Поставщики услуг связи (H2), внешний |
Рабочие места сотрудников, вебсервер |
ПАК предприятия |
Целенаправленный перехват информации, отказ от обслуживания. |
Сисадмин (H2), внутренний |
ПАК предприятия |
ПАК предприятия |
Ошибки в настройке, продажа данных, намеренное или случайное их удаление. |
Сотрудник (H1), внутренний |
Рабочие места сотрудников |
Рабочие места сотрудников |
Пользовательские ошибки |
Дополнительный персонал (H1), внутренний |
- |
- |
Непреднамеренное причинение вреда ПАК, саботаж |
Определение уровня защищённости ИСПДн и реализация требований к ИС.
При описании потенциальных угроз безопасности информации были приняты в рассмотрение следующие факторы: актуальные нарушители, уровни их возможностей, объекты воздействия предприятия, основные способы реализации угроз и негативные последствия.
Актуальные угрозы безопасности информации:
Угроза остановки работы веб-сервера
Угроза удаления данных
Угроза хищения данных
Возможные сценарии приведены в таблице ниже:
Таблица 8 – возможные сценарии реализации угроз
№ |
Тактика |
Техники |
1 |
Сбор информации о системах и сетях |
T1.4. Направленное сканирование при помощи специализированного программного обеспечения подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий программного обеспечения этих сервисов, а также с целью получения конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений. |
Получение первоначального доступа к компонентам систем и сетей |
Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет) |
|
Внедрение и исполнение вредоносного программного обеспечения в системах и сетях |
Т3.3. Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с последующим запуском на выполнение |
|
Несанкционированный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям |
Т10.2. Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры доступа |
2 |
Сбор информации о системах и сетях |
Т1.17. Пассивный сбор и анализ данных телеметрии для получения информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах |
Получение первоначального доступа к компонентам систем и сетей |
Т2.8. Использование методов социальной инженерии, в том числе фишинга, для получения прав доступа к компонентам системы |
|
Внедрение и исполнение вредоносного программного обеспечения в системах и сетях |
Т3.1. Автоматический запуск скриптов и исполняемых файлов в системе с использованием пользовательских или системных учетных данных, в том числе с использованием методов социальной инженерии |
|
Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям |
Т8.4. Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям |
|
Несанкционированный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям |
Т10.8. Уничтожение информации, включая информацию, хранимую в виде файлов, информацию в базах данных и репозиториях, информацию на неразмеченных областях дисков и сменных носителей |
|
3 |
Сбор информации о системах и сетях |
Т1.8. Сбор информации о пользователе при посещении им веб -сайта, в том числе с использованием уязвимостей программы браузера и надстраиваемых модулей браузера |
Получение первоначального доступа к компонентам систем и сетей |
Т2.9. Несанкционированное подключение внешних устройств. |
|
|
Внедрение и исполнение вредоносного программного обеспечения в системах и сетях |
Т3.4. Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной системой и сервисами. |
Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям |
Т8.4. Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям |
|
Несанкционированный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям |
Т10.1. Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивках |
Схемы сценариев атаки приведены на рисунках ниже, слово «клиент» в рамках оценки возможных сценариев атак будем ассоциировать со словом «злоумышленник».
Рисунок 3 – схема сценария №1
Рисунок 4 – схема сценария №2
Рисунок 5 – схема сценария №3
Выводы
При сравнение рисков, представленных по методике ФСТЭК, были описаны:
ущерб от их реализации;
источники;
методы реализации.
Также была проведена оценка с помощью ПО РискМенеджер -
Анализ v3.5. Построены три комплекса мер из которых был выбран самый выгодный по стоимости и сделано заключение о его эффективности.
В связи с тем, что приемлемым остаточным риском считается риск ниже 750,5 тыс. руб., следует выбрать сформированный комплект мер, так как он соответствует требованиям.