2. Описание потенциальных нарушителей безопасности информации

Название	2. Описание потенциальных нарушителей безопасности информации
Дата	13.04.2022
Размер	0.73 Mb.
Формат файла
Имя файла	model-ugroz-bezopasnosti-informatsii-pri-eyo-obrabotke-v-segment.doc
Тип	Документы #470807
страница	3 из 6

1 2 3 4 5 6

высокая вероятность - объективные предпосылки для реализации угрозы существуют и меры по обеспечению безопасности не приняты.

При составлении перечня актуальных угроз безопасности информации каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент Y₂, а именно:

0 – для маловероятной угрозы;

2 – для низкой вероятности угрозы;

5 – для средней вероятности угрозы;

10 – для высокой вероятности угрозы.

С учетом изложенного коэффициент реализуемости угрозы Y будет определяться соотношением

Y = (Y₁ + Y₂) / 20.

По значению коэффициента реализуемости угрозы Y формируется вербальная интерпретация реализуемости угрозы следующим образом:

если 0 ≤ Y ≤ 0,3, то возможность реализации угрозы признается низкой;

если 0,3 < Y ≤ 0,6, то возможность реализации угрозы признается средней;

если 0,6 < Y ≤ 0,8, то возможность реализации угрозы признается высокой;

если Y > 0,8, то возможность реализации угрозы признается очень высокой.

Результаты экспертной оценки вероятности реализации угроз безопасности информации и значения числовых коэффициентов Y₂ и Y приведены в таблице 4.1.

4.2 Определение опасности реализации угрозы

Далее оценивается опасность каждой угрозы. При оценке опасности на основе экспертной оценки определяется вербальный показатель опасности для сегмента ГИС. Этот показатель имеет три значения:

низкая опасность – если реализация угрозы может привести к незначительным негативным последствиям;

средняя опасность – если реализация угрозы может привести к негативным последствиям;

высокая опасность – если реализация угрозы может привести к значительным негативным последствиям.

Затем осуществляется выбор из общего перечня угроз безопасности тех, которые относятся к актуальным для сегмента ГИС.

Результаты экспертной оценки опасности реализации угроз и полный перечень актуальных угроз безопасности информации, содержащей персональные данные, при ее обработке в сегменте ГИС «ЕИС ГМУ СО» приведены в таблице 4.1.

Таблица 4.1 – Перечень актуальных угроз безопасности информации, содержащей персональные данные, при ее обработке в сегменте ГИС «ЕИС ГМУ СО»

Условное обозначение и наименование угрозы	Вероятность реализации (Y₂)	Возможность реализации (Y)	Опасность	Актуальность
УБИ.001 Угроза автоматического распространения вредоносного кода в грид-системе	–	–	–	Не актуальна
УБИ. 002 Угроза агрегирования данных, передаваемых в грид-системе	–	–	–	Не актуальна
УБИ. 003 Угроза анализа криптографических алгоритмов и их реализации	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 004 Угроза аппаратного сброса пароля BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 005 Угроза внедрения вредоносного кода в BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 006 Угроза внедрения кода или данных	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 007 Угроза воздействия на программы с высокими привилегиями	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 008 Угроза восстановления аутентификационной информации	Низкая (2)	Средняя (0,6)	Средняя	Актуальна
УБИ. 009 Угроза восстановления предыдущей уязвимой версии BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 011 Угроза выхода процесса за пределы виртуальной машины	–	–	–	Не актуальна
УБИ. 012 Угроза деавторизации санкционированного клиента беспроводной сети	–	–	–	Не актуальна
УБИ. 013 Угроза деструктивного изменения конфигурации/среды окружения	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 014 Угроза деструктивного удержания вычислительных ресурсов пользователями	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 015 Угроза доступа к защищаемым файлам с использованием обходного пути	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 016 Угроза доступа к локальным файлам сервера при помощи URL	–	–	–	Не актуальна
УБИ. 017 Угроза доступа/перехвата/изменения HTTP cookies	Низкая (2)	Средняя (0,6)	Средняя	Актуальна
УБИ. 018 Угроза загрузки нештатной операционной системы	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 019 Угроза заражения DNS-кеша	Низкая (2)	Средняя (0,6)	Средняя	Актуальна
УБИ. 020 Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг	–	–	–	Не актуальна
УБИ. 021 Угроза злоупотребления доверием потребителей облачных услуг	–	–	–	Не актуальна
УБИ. 022 Угроза избыточного выделения оперативной памяти	–	–	–	Не актуальна
УБИ. 023 Угроза изменения компонентов системы	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 024 Угроза изменения режимов работы аппаратных элементов компьютера	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 025 Угроза изменения системных и глобальных переменных	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 026 Угроза искажения XML-схемы	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 027 Угроза искажения вводимой и выводимой на периферийные устройства информации	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 028 Угроза использования альтернативных путей доступа к ресурсам	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 029 Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами	–	–	–	Не актуальна
УБИ. 030 Угроза использования информации идентификации /аутентификации, заданной по умолчанию	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 031 Угроза использования механизмов авторизации для повышения привилегий	Низкая (2)	Средняя (0,6)	Высокая	Актуальна
УБИ. 032 Угроза использования поддельных цифровых подписей BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 033 Угроза использования слабостей кодирования входных данных	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 034 Угроза использования слабостей протоколов сетевого/локального обмена данными	Средняя (5)	Высокая (0,74)	Низкая	Актуальна
УБИ. 035 Угроза использования слабых криптографических алгоритмов BIOS	–	–	–	Не актуальна
УБИ. 036 Угроза исследования механизмов работы программы	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 037 Угроза исследования приложения через отчеты об ошибках	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 038 Угроза исчерпания вычислительных ресурсов хранилища больших данных	–	–	–	Не актуальна
УБИ. 039 Угроза исчерпания запаса ключей, необходимых для обновления BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 040 Угроза конфликта юрисдикций различных стран	–	–	–	Не актуальна
УБИ. 041 Угроза межсайтового скриптинга	–	–	–	Не актуальна
УБИ. 042 Угроза межсайтовой подделки запроса	–	–	–	Не актуальна
УБИ. 043 Угроза нарушения доступности облачного сервера	–	–	–	Не актуальна
УБИ. 044 Угроза нарушения изоляции пользовательских данных внутри виртуальной машины	–	–	–	Не актуальна
УБИ. 045 Угроза нарушения изоляции среды исполнения BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 046 Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия	–	–	–	Не актуальна
УБИ. 047 Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузки	–	–	–	Не актуальна
УБИ. 048 Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин	–	–	–	Не актуальна
УБИ. 049 Угроза нарушения целостности данных кеша	Средняя (5)	Высокая (0,74)	Низкая	Актуальна
УБИ. 050 Угроза неверного определения формата выходных данных, поступающих в хранилище больших данных	–	–	–	Не актуальна
УБИ. 051 Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 052 Угроза невозможности миграции образов виртуальных машин из-за несовместимости аппаратного и программного обеспечения	–	–	–	Не актуальна
УБИ. 053 Угроза невозможности управления правами пользователей BIOS	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 054 Угроза недобросовестного исполнения обязательств поставщиками облачных услуг	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна
УБИ. 055 Угроза незащищенного администрирования облачных услуг	–	–	–	Не актуальна
УБИ. 056 Угроза некачественного переноса инфраструктуры в облако	–	–	–	Не актуальна
УБИ. 057 Угроза неконтролируемого копирования данных внутри хранилища больших данных	–	–	–	Не актуальна
УБИ. 058 Угроза неконтролируемого роста числа виртуальных машин	–	–	–	Не актуальна
УБИ. 059 Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов	–	–	–	Не актуальна
УБИ. 060 Угроза неконтролируемого уничтожения информации хранилищем больших данных	–	–	–	Не актуальна
УБИ. 061 Угроза некорректного задания структуры данных транзакции	Маловероятно (0)	Низкая (0,25)	Низкая	Не актуальна

1 2 3 4 5 6