7 Оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности

Идентификатор УБИ

Наименование угрозы

Обоснование актуальности

УБИ.003

Угроза использования слабостей криптографических алгоритмов и уязвимостей в ПО их реализации

Используются криптографические средства (VPN для банка, SSL для ЭДО). Наличие уязвимостей в их реализации может привести к компрометации каналов связи.

УБИ.005

Угроза внедрения вредоносного кода в BIOS

АРМ бухгалтеров и сервер имеют BIOS/UEFI. Существует потенциальная возможность внедрения вредоносного кода (как правило, при физическом доступе или через эксплуатацию уязвимостей).

УБИ.006

Угроза внедрения кода или данных

Актуально для прикладного ПО 1С (возможность внедрения вредоносных скриптов, обработок) и для ОС Windows.

УБИ.007

Угроза воздействия на программы с высокими привилегиями

В системе присутствуют программы, работающие с высокими привилегиями (СЗИ, антивирус, службы СУБД). Воздействие на них может отключить защиту.

УБИ.008

Угроза восстановления и/или повторного использования аутентификационной информации

Пароли пользователей (бухгалтеров, администраторов) могут быть перехвачены (кейлоггеры, фишинг) и использованы повторно.

УБИ.014

Угроза длительного удержания вычислительных ресурсов пользователями

Актуально для сервера 1С: недобросовестные или неквалифицированные действия пользователей могут создавать избыточную нагрузку, замедляя работу системы.

УБИ.018

Угроза загрузки нештатной ОС

При физическом доступе к АРМ или серверу (например, уборщики, ремонтники) существует возможность загрузки с внешних носителей для обхода защиты.

УБИ.024

Угроза изменения режимов работы аппаратных элементов компьютера

Возможна при физическом доступе или через вредоносное ПО (например, отключение периферии, изменение настроек контроллеров).

УБИ.027

Угроза искажения вводимой и выводимой на периферийные устройства информации

Актуально для МФУ: возможна подмена документов при печати или сканировании, перехват факсов (если используются).

УБИ.028

Угроза использования альтернативных путей доступа к ресурсам

Наличие сетевых папок, административных ресурсов (C$, Admin$), возможных бэкдоров от предыдущих администраторов.

УБИ.030

Угроза использования информации идентификации/аутентификации, заданной по умолчанию

Угроза актуальна для нового оборудования (коммутатор, МФУ) и ПО (СУБД, 1С), если не были изменены пароли по умолчанию.

УБИ.031

Угроза использования механизмов авторизации для повышения привилегий

Использование уязвимостей ОС или прикладного ПО (1С) для получения прав администратора.

УБИ.036

Угроза исследования механизмов работы программы

Актуально для ПО 1С: злоумышленник (в т.ч. бывший сотрудник) может исследовать механизмы работы для поиска уязвимостей.

УБИ.049

Угроза нарушения целостности данных кеша

Кэширование данных в браузерах (при работе с "Клиент-Банк" через веб) может привести к утечке информации.

УБИ.052

Угроза невозможности восстановления сессии

Актуально для "Клиент-Банк" и систем ЭДО при нестабильном соединении и неправильной обработке сессий.

УБИ.067

Угроза неправомерного ознакомления с защищаемой информацией

Просмотр ПДн (зарплаты, паспортные данные) сотрудниками, не имеющими на это прав, или посторонними лицами при отсутствии контроля.

УБИ.068

Угроза неправомерного/некорректного использования API

Актуально для интеграции 1С с "Клиент-Банк" и операторами ЭДО: некорректное использование API может привести к утечке или искажению данных.

УБИ.069

Угроза неправомерных действий в каналах связи

Перехват, модификация или подмена данных при передаче отчетности в ФНС или платежей в банк.

УБИ.071

Угроза несанкционированного восстановления удаленной защищаемой информации

Восстановление удаленных ПДн с жестких дисков (при утилизации или ремонте) без применения методов зачистки.

УБИ.073

Угроза несанкционированного доступа к сетевому оборудованию

Доступ к настройкам коммутатора с целью изменения конфигурации сети, прослушивания трафика.

УБИ.074

Угроза несанкционированного доступа к аутентификационной информации

Кража паролей пользователей (бухгалтеров, администраторов) из памяти, с диска, из логов или путем фишинга.

УБИ.086

Угроза несанкционированного изменения аутентификационной информации

Смена паролей пользователей злоумышленником (например, бывшим администратором) для блокировки доступа.

УБИ.088

Угроза несанкционированного копирования защищаемой информации

Копирование баз данных 1С на флешки, внешние диски, отправка по почте. Наиболее критичная угроза для ПДн.

УБИ.090

Угроза несанкционированного создания учетной записи пользователя

Создание скрытых учетных записей администратором или злоумышленником для дальнейшего доступа.

УБИ.091

Угроза несанкционированного удаления защищаемой информации

Удаление баз данных 1С (шифровальщики, месть сотрудника, ошибка администратора).

УБИ.092

Угроза несанкционированного удаленного внеполосного доступа к аппаратному обеспечению

Актуально для серверного оборудования (iDRAC, iLO, IPMI) при наличии удаленного доступа.

УБИ.093

Угроза несанкционированного управления буфером

Переполнение буфера в ПО 1С, СУБД или ОС для выполнения произвольного кода.

УБИ.098

Угроза обнаружения открытых портов и идентификации служб

Сканирование сети злоумышленником для выявления уязвимых сервисов на сервере и АРМ.

УБИ.099

Угроза обнаружения хостов

Сканирование сети для определения активных устройств (сервер, АРМ, МФУ).

УБИ.100

Угроза обхода некорректно настроенных механизмов аутентификации

Использование ошибок конфигурации 1С, Windows, СЗИ для доступа без пароля.

УБИ.102

Угроза опосредованного управления группой программ через совместно используемые данные

Использование общих сетевых папок для распространения вредоносного ПО.

УБИ.103

Угроза определения типов объектов защиты (fingerprinting)

Сбор информации об используемом ПО (версии 1С, СУБД, антивируса) для подбора эксплойтов.

УБИ.104

Угроза определения топологии вычислительной сети

Построение карты сети для планирования атаки.

УБИ.107

Угроза отключения контрольных датчиков

Актуально для систем мониторинга (если используются) – отключение отправки сигналов о сбоях.

УБИ.109

Угроза перебора всех настроек и параметров приложения (фаззинг)

Поиск уязвимостей в ПО 1С, "Клиент-Банк" путем перебора параметров.

УБИ.111

Угроза передачи данных по скрытым каналам

Создание туннелей внутри разрешенных соединений для скрытой передачи украденных данных.

УБИ.113

Угроза перезагрузки аппаратных и программно-аппаратных средств

Принудительная перезагрузка сервера или АРМ для нарушения работы или применения некорректных настроек.

УБИ.114

Угроза переполнения целочисленных переменных

Использование ошибок в ПО для нарушения работы или выполнения кода.

УБИ.115

Угроза перехвата вводимой и выводимой на периферийные устройства информации

Перехват данных, вводимых с клавиатуры (кейлоггеры), выводимых на печать или сканируемых на МФУ.

УБИ.116

Угроза перехвата данных, передаваемых по вычислительной сети

Перехват трафика внутри ЛВС (ARP-spoofing) при отсутствии сегментации и шифрования внутреннего трафика.

УБИ.118

Угроза перехвата привилегированного процесса

Перехват управления процессом, работающим с высокими привилегиями.

УБИ.122

Угроза повышения привилегий

Получение прав администратора из обычной учетной записи пользователя.

УБИ.123

Угроза подбора пароля BIOS

При физическом доступе возможен подбор пароля на BIOS для изменения порядка загрузки.

УБИ.124

Угроза подделки записей журнала регистрации событий

Удаление или модификация логов для сокрытия следов инцидента.

УБИ.127

Угроза подмены действия пользователя путем обмана (социальная инженерия)

Обман бухгалтера для получения паролей, перевода денег, запуска вредоносного ПО.

УБИ.128

Угроза подмены доверенного пользователя

Использование скомпрометированных учетных записей доверенных лиц.

УБИ.130

Угроза подмены содержимого сетевых ресурсов

Подмена данных на сайтах операторов ЭДО (через DNS-спуфинг) для сбора отчетности.

УБИ.131

Угроза подмены субъекта сетевого доступа

Выдача себя за легального пользователя при сетевом взаимодействии.

УБИ.132

Угроза получения предварительной информации об объекте защиты

Сбор информации о компании, сотрудниках, используемом ПО (OSINT) для подготовки атаки.

УБИ.139

Угроза преодоления физической защиты

Проникновение в серверную комнату или к АРМ бухгалтеров (подбор ключей, копирование ключей, социальная инженерия на охране).

УБИ.140

Угроза приведения системы в состояние «отказ в обслуживании» (DoS)

Блокировка работы сервера 1С, перегрузка каналов связи, невозможность доступа к "Клиент-Банк".

УБИ.143

Угроза программного выведения из строя средств хранения, обработки, ввода/вывода/передачи информации

Деструктивное ПО, шифровальщики, "убийцы" жестких дисков.

УБИ.145

Угроза пропуска проверки целостности ПО

Отключение или обход механизмов контроля целостности СЗИ.

УБИ.148

Угроза сбоя автоматического управления системой разграничения доступа

Сбой в настройках прав доступа 1С или Windows, приводящий к расширению доступа.

УБИ.149

Угроза сбоя в системе электропитания

Отключение электроэнергии в серверной или офисе, приводящее к потере данных или поломке оборудования.

УБИ.150

Угроза сбоя процесса обновления ПО

Некорректное обновление 1С, Windows, СЗИ, приводящее к нарушению работы или появлению уязвимостей.

УБИ.155

Угроза утраты вычислительных ресурсов

Неконтролируемое использование ресурсов (майнинг, ботнет) на сервере или АРМ.

УБИ.157

Угроза физического выведения из строя средств хранения, обработки, ввода/вывода/передачи информации

Повреждение оборудования (пожар, затопление, вандализм).

УБИ.160

Угроза хищения средств хранения, обработки, ввода/вывода/передачи информации

Кража сервера, АРМ, жестких дисков, флешек с ПДн.

УБИ.165

Угроза включения в проект недостаточно испытанных компонентов

Использование нестабильных версий ПО, драйверов.

УБИ.168

Угроза "кражи" учетной записи доступа к сетевым сервисам

Кража учетных записей к "Клиент-Банк", ЭДО, 1С-Фреш (если используется).

УБИ.169

Угроза наличия механизмов разработчика (Debug-режимы)

Наличие отладочных режимов в 1С, оставленных разработчиками, которые могут дать расширенный доступ.

УБИ.176

Угроза нарушения технологического процесса из-за временных задержек СЗИ

Замедление работы бухгалтерских программ из-за избыточного контроля СЗИ (проверка каждого файла).

УБИ.177

Угроза неподтвержденного ввода данных оператором

Ошибочный ввод данных бухгалтером (неправильные реквизиты, суммы) без подтверждения.

УБИ.178

Угроза несанкционированного использования системных и сетевых утилит

Использование утилит (psexec, net use, сканеры портов) для разведки и перемещения по сети.

УБИ.179

Угроза несанкционированной модификации защищаемой информации

Изменение данных в БД 1С (сумм зарплаты, реквизитов сотрудников) в корыстных целях.

УБИ.182

Угроза физического устаревания аппаратных компонентов

Выход из строя жестких дисков, блоков питания из-за износа (особенно актуально для сервера).

УБИ.185

Угроза несанкционированного изменения параметров настройки СЗИ

Изменение настроек Secret Net Studio, антивируса (отключение защиты, добавление исключений) администратором или злоумышленником.

УБИ.187

Угроза несанкционированного воздействия на СЗИ

Обход, отключение, блокировка работы средств защиты.

УБИ.188

Угроза подмены ПО

Установка модифицированной версии 1С, "левых" обновлений, содержащих вредоносный код.

УБИ.189

Угроза маскирования действий вредоносного кода

Использование руткитов, полиморфных вирусов для скрытия присутствия в системе.

УБИ.191

Угроза внедрения вредоносного кода в дистрибутив ПО

Компрометация канала распространения обновлений 1С или Windows.

УБИ.192

Угроза использования уязвимых версий ПО

Использование старых, не обновленных версий 1С, Windows, MS SQL с известными уязвимостями.

УБИ.195

Угроза удаленного запуска вредоносного кода в обход механизмов защиты ОС

Использование уязвимостей для выполнения кода без вызова антивируса.

УБИ.197

Угроза хищения аутентификационной информации из cookie

Кража сессионных cookie из браузеров бухгалтеров (при работе с веб-версиями "Клиент-Банк").

УБИ.198

Угроза скрытной регистрации вредоносной программой учетных записей администраторов

Создание скрытых учетных записей для удаленного доступа.

УБИ.205

Угроза нарушения работы компьютера из-за некорректной работы средств защиты

Конфликт СЗИ с ПО, "синие экраны", замедление работы.

УБИ.208

Угроза нецелевого использования вычислительных ресурсов (майнинг)

Использование мощностей сервера и АРМ для майнинга криптовалют.

УБИ.210

Угроза нарушения работы ИС из-за обновления ПО

Некорректные обновления 1С, Windows, драйверов, приводящие к сбоям.

УБИ.211

Угроза использования непроверенных пользовательских данных для конфигурационных файлов администрирования

Инъекции в конфигурационные файлы через пользовательский ввод.

УБИ.212

Угроза перехвата управления информационной системой

Полный захват контроля над системой злоумышленником.

УБИ.214

Угроза несвоевременного выявления событий безопасности

Отсутствие мониторинга и реагирования на инциденты (логи не смотрятся, алерты не настроены).