- •Введение
- •1 Общие положения
- •1.1 Назначение и область действия документа
- •1.2 Нормативные правовые акты и методические документы
- •2.3 Состав обрабатываемой информации
- •2.4 Архитектура и состав системы
- •2.5 Группа пользователей и уровни полномочий
- •2.6 Внешние интерфейсы и взаимодействия
- •2.7 Инфраструктура и ответственность
- •3 Определение негативных последствий
- •4 Инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации
- •5 Определение источников угроз и оценка возможностей нарушителей по реализации угроз безопасности информации
- •6 Оценка способов реализации угроз безопасности информации
- •7 Оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности
- •8 Оценка сценариев реализации угроз безопасности информации в системах и сетях
- •Заключение
6 Оценка способов реализации угроз безопасности информации
Таблица 6.1 – Оценка способов реализации угроз безопасности информации
№ |
Вид нарушителя |
Категория |
Объект воздействия |
Доступные интерфейсы |
Способы реализации |
1 |
Отдельные физические лица (хакеры) |
Внешний |
Сервер 1С (БД) |
Сетевой интерфейс (выход в Интернет через МЭ), Удаленный доступ (RDP, если настроен) |
Эксплуатация уязвимостей ОС Windows Server, СУБД MS SQL, прикладного ПО 1С. Внедрение вредоносного ПО через зараженные файлы или фишинг. Подбор паролей к учетным записям. |
Внешний |
АРМ бухгалтеров |
Пользовательский интерфейс (через фишинг), Сетевой интерфейс, USB |
Использование уязвимостей ПО, внедрение вредоносного ПО через фишинговые письма и посещение зараженных сайтов, перехват данных в памяти, обход разграничения доступа. |
||
Внешний |
Система «Клиент-Банк» |
Сетевой интерфейс (Интернет), Пользовательский интерфейс |
Атаки на каналы связи (при недостаточной защите), кража учетных данных, перехват сессий, подделка платежных поручений. |
||
Внешний |
Каналы связи (с операторами ЭДО) |
Сетевой интерфейс |
Атаки на криптографические протоколы (при слабых настройках), перехват трафика, подмена данных отчетности. |
||
2 |
Поставщики ПО и оборудования (1С-франчайзи, поставщики СЗИ) |
Внешний |
Прикладное ПО (1С), СЗИ |
Технологический интерфейс (обновления, техподдержка) |
Внедрение недокументированных возможностей (НДВ), закладок в код, создание скрытых учетных записей (бэкдоров). Разглашение архитектуры системы и уязвимостей третьим лицам. |
Внешний |
Сервер, АРМ |
Технологический интерфейс, Локальный доступ (при визите) |
Модификация конфигурации СЗИ (ослабление защиты), установка аппаратных закладок, копирование конфигурационных файлов. |
Продолжение Таблицы 6.1.
3 |
Лица, привлекаемые для установки и наладки |
Внешний |
Сервер, АРМ, МФУ |
Локальный доступ, USB-порты, Административный интерфейс |
Установка вредоносного ПО, создание «закладок» в оборудовании, копирование БД и конфигураций на съемные носители, модификация настроек безопасности. |
4 |
Персонал (администрация, охрана, уборщики) |
Внутренний |
АРМ (оставленные без присмотра), Журналы событий, Помещения |
Пользовательский интерфейс (при отсутствии блокировки), Физический доступ, USB |
Непреднамеренные ошибки (просмотр/печать документов с ПДн для посторонних), физическое повреждение оборудования, подключение сторонних устройств (флешки, BadUSB), оставление рабочих мест без блокировки экрана. |
5 |
Авторизованные пользователи (сотрудник отдела кадров) |
Внутренний |
АРМ №1 и №2, База данных 1С |
Пользовательский интерфейс (1С, ОС), USB-порты, Сетевые папки |
Случайный запуск вредоносного ПО, копирование ПДн на личные флешки, превышение полномочий через ошибки конфигурации 1С, разглашение паролей. |
6 |
Системный администратор |
Внутренний |
Сервер (БД, ОС), СЗИ, Сетевое оборудование, Журналы событий |
Полный локальный и сетевой доступ (консоль сервера, RDP, SSH), Административный интерфейс, USB |
Копирование или удаление БД 1С (продажа данных, месть), модификация или удаление логов (сокрытие следов), отключение СЗИ (Secret Net, антивирус), использование НДВ в ПО, создание скрытых учетных записей, саботаж |
7 |
Специалист по ИБ |
Внутренний |
СЗИ, Журналы событий, Политики безопасности |
Административный интерфейс СЗИ, Доступ к логам, Конфигурационные файлы |
Злоупотребление полномочиями (отключение аудита), сокрытие инцидентов (удаление логов), ослабление политик безопасности, модификация правил СЗИ для создания уязвимостей. |
8 |
Бывшие (уволенные) работники (бухгалтеры, администраторы) |
Внешний |
Все компоненты системы (сервер, АРМ, БД) |
Удаленный доступ (если учетные записи не заблокированы), Знание архитектуры и уязвимостей, Социальная инженерия |
Использование неудаленных учетных записей (1С, Windows, VPN), разглашение уязвимостей системы, удаленное вредительство на основе знаний о системе (например, знание слабых мест в защите), кража данных через бывших коллег. |
Окончание Таблицы 6.1.
9 |
Преступные группы (криминальные структуры) |
Внешний |
База данных (ПДн и зарплатные данные), Система «Клиент-Банк», Каналы связи |
Сетевой интерфейс (целенаправленные атаки), Социальная инженерия, Физический доступ (проникновение) |
Целенаправленные атаки (АРТ) на кражу ПДн (спецкатегории, биометрия) и учетных данных к «Клиент-Банк», шантаж (угроза публикации данных о зарплатах), подкуп персонала (бухгалтеров, администраторов), внедрение своего сотрудника. |