модель угроз1. Ао I 'М К Заполярье

выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. В ходе реализации угрозы нарушитель:
- изучает логику работы ИСПДн - то есть стремится получить однозначное соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий. В дальнейшем это позволя­
ет злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;
- перехватывает поток передаваемых данных, которыми обмениваются компоненты сетевой операционной системы, для извлечения конфиденциальной или идентификационной информации (например, статических паролей пользова­
телей для доступа к удаленным хостам по протоколам FTP и TELNET, не преду­
сматривающих шифрование), ее подмены, модификации и т.п.
На всех компьютерах локальной сети установлены сертифицированные ан­
тивирусные средства со средствами обнаружения вторжений, установлен межсе­
тевой экран Ideco ICS.
Вероятность реализации угрозы - низкая.
Перехват за переделами с контролируемой зоны.
Вероятность реализации угрозы - маловероятна.
Перехват в пределах контролируемой зоны внешними нарушителями
В АО «ГМСК Заполярье» установлена охранная сигнализация, ведется ви­
део наблюдение, двери закрываются на замок.
Вероятность реализации угрозы - маловероятна.
Перехват в пределах контролируемой зоны внутренними нарушителями.
В АО «ГМСК Заполярье установлена охранная сигнализация, ведется ви­
део наблюдение, двери закрываются на замок.
Вероятность реализации угрозы - маловероятна.
Угроза «сканирование сети»
Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель - выявление ис­
пользуемых протоколов, доступных портов сетевых служб, законов формирова­
ния идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.
23

На всех компьютерах локальной сети установлены сертифицированные ан­
тивирусные средства со средствами обнаружения вторжений, установлен межсе­
тевой экран Ideco ICS.
Вероятность реализации угрозы - низкая.
Угроза выявления паролей
Цель реализации угрозы состоит в получении НСД путем преодоления па­
рольной защиты. Злоумышленник может реализовывать угрозу с помощью цело­
го ряда методов, таких как простой перебор, перебор с использованием специ­
альных словарей, установка вредоносной программы для перехвата пароля, под­
мена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В ос­
новном для реализации угрозы используются специальные программы, которые пытаются получить доступ хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль досту­
па.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятна.
Угрозы навязывание ложного маршрута сети
Данная угроза реализуется одним из двух способов: путем внутрисег­
ментного или межсегментного навязывания. Возможность навязывания ложного маршрута обусловлена недостатками, присущими алгоритмам маршрутизации (в частности из-за проблемы идентификации сетевых управляющих устройств), в результате чего можно попасть, например, на хост или в сеть злоумышленника, где можно войти в операционную среду технического средства в составе ИС-
ПДн. Реализации угрозы основывается на несанкционированном использовании протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP) для внесения изменений в маршрутно-адресные таблицы. При этом нарушителю необходимо послать от имени сетевого управляющего устройства (например, маршрутизатора) управляющее сообщение.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятная.
Угрозы подмены доверенного объекта
Такая угроза эффективно реализуется в системах, в которых применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и
24

т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.
Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.
Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет наруши­
телю вести сеанс работы с объектом сети от имени доверенного субъекта. Реали­
зация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).
Процесс реализации угрозы без установления виртуального соединения мо­
жет иметь место в сетях, осуществляющих идентификацию передаваемых сооб­
щений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.
В результате реализации угрозы нарушитель получает права доступа к техническому средству ИСПДн - цели угроз.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятная.
Внедрение ложного объекта сети
Эта угроза основана на использовании недостатков алгоритмов удаленного поиска. В случае если объекты сети изначально не имеют адресной информации друг о друге, используются различные протоколы удаленного поиска (например,
SAP в сетях Novell NetWare; ARP, DNS, WINS в сетях со стеком протоколов
TCP/IP), заключающиеся в передаче по сети специальных запросов и получении на них ответов с искомой информацией. При этом существует возможность пере­
хвата нарушителем поискового запроса и выдачи на него ложного ответа, ис­
пользование которого приведет к требуемому изменению маршрутно-адресных данных. В дальнейшем весь поток информации, ассоциированный с объектом- жертвой, будет проходить через ложный объект сети.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятна.
Угрозы типа «Отказ в обслуживании»
Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операци­
онная система оказывается не в состоянии обрабатывать поступающие пакеты.
25

Могут быть выделены несколько разновидностей таких угроз: скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИС-
ПДн на обработку пакетов, передаваемых злоумышленником со снижением про­
пускной способности каналов связи, производительности сетевых устройств, нарушением требований к времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросов по про­
токолу ICMP (Ping flooding), шторм запросов на установление ТСР-соединений
(SYN-flooding), шторм запросов к FTP-серверу;
- явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недо­
ступности среды передачи, либо получают отказ в обслуживании ввиду пере­
полнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных 1СМР-эхо- запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений поч­
товому серверу (Spam);
- явный отказ в обслуживании, вызванный нарушением логической связ­
ности между техническим средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP Redirect Host, DNS-flooding) или идентификационной и аутентификационной информации;
- явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа «Land», «TearDrop»,
«Bonk», «Nuke», «UDP-bomb») или имеющих длину, превышающую макси­
мально допустимый размер (угроза типа «Ping Death»), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии нали­
чия ошибок в программах, реализующих протоколы сетевого обмена.
Результатом реализации данной угрозы может стать нарушение рабо­
тоспособности соответствующей службы предоставления удаленного доступа к
ПДн в ИСПДн, передача с одного адреса такого количества запросов на подклю­
чение к техническому средству в составе ИСПДн, которое максимально может
«вместить» трафик (направленный «шторм запросов»), что влечет за собой пере­
полнение очереди запросов и отказ одной из сетевых служб или полная останов­
ка ИСПДн из-за невозможности системы заниматься ничем другим, кроме обра­
ботки запросов.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятная.
26

Угрозы удаленного запуска приложений
Угроза заключается в стремлении запустить на хосте ИСПДн различные предварительно внедренные вредоносные программы: программы-закладки, ви­
русы, «сетевые шпионы», основная цель которых - нарушение конфиден­
циальности, целостности, доступности информации и полный контроль за рабо­
той хоста. Кроме того, возможен несанкционированный запуск прикладных про­
грамм пользователей для несанкционированного получения необходимых нару­
шителю данных, для запуска управляемых прикладной программой процессов и
ДР-
Выделяют три подкласса данных угроз:
- распространение файлов, содержащих несанкционированный испол­
няемый код;
- удаленный запуск приложения путем переполнения буфера приложе­
ний-серверов;
- удаленный запуск приложения путем использования возможностей уда­
ленного управления системой, предоставляемых скрытыми программными и ап­
паратными закладками, либо используемыми штатными средствами.
Типовые угрозы первого из указанных подклассов основываются на акти­
визации распространяемых файлов при случайном обращении к ним. Примерами таких файлов могут служить: файлы, содержащие исполняемый код в вид доку­
менты, содержащие исполняемый код в виде элементов ActiveX, Java-апплетов, интерпретируемых скриптов (например, тексты на JavaScript); файлы, содер­
жащие исполняемые коды программ. Для распространения файлов могут исполь­
зоваться службы электронной почты, передачи файлов, сетевой файловой си­
стемы.
При угрозах второго подкласса используются недостатки программ, реали­
зующих сетевые сервисы (в частности, отсутствие контроля за переполнением буфера). Настройкой системных регистров иногда удается переключить процес­
сор после прерывания, вызванного переполнением буфера, на исполнение кода, содержащегося за границей буфера. Примером реализации такой угрозы может служить внедрение широко известного «вируса Морриса».
При угрозах третьего подкласса нарушитель использует возможности уда­
ленного управления системой, предоставляемые скрытыми компонентами
(например, «троянскими» программами типа Back. Orifice, Net Bus), либо штат­
ными средствами управления и администрирования компьютерных сетей
(Landesk Management Suite, Managewise, Back Orifice и т. п.). В результате их использования удается добиться удаленного контроля над станцией в сети.
27

На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, межсетевой экран Ideco ICS.
Вероятность реализации угрозы - маловероятная.
Угрозы внедрения по сети вредоносных программ
К вредоносным программам, внедряемым по сети, относятся вирусы, кото­
рые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Вредоносными программами, обеспечивающими осуществление НСД, мо­
гут быть:
- программы подбора и вскрытия паролей;
- программы, реализующие угрозы;
- программы, демонстрирующие использование недекларированных воз­
можностей программного и программно-аппаратного обеспечения ИСПДн;
- программы-генераторы компьютерных вирусов;
- программы, демонстрирующие уязвимости средств защиты информа­
ции и др.
На всех компьютерах локальной сети установлены антивирусные средства со средствами обнаружения вторжений, установлен межсетевой экран Ideco ICS
2.4.5.
Вероятность реализации угрозы - низкая.
Реализуемость угроз
По итогам оценки уровня защищенности (Yi) и вероятности реализации угрозы (Y
2
), рассчитывается коэффициент реализуемости угрозы (Y) и определя­
ется возможность реализации угрозы. Коэффициент реализуемости угрозы Y бу­
дет определяться соотношением Y = (Yi + Y
2
) /20
Оценка реализуемости УБПДн представлена в таблице.
Таблица 4 - Реализуемость УБПДн.
Тип угроз безопасности ПДн
Коэффициент ре­
ализуемости угрозы (Y)
Возможность реа­
лизации
1. Угрозы от утечки по техническим каналам.
1.1. Угрозы утечки акустической информа­
ции
0.25
Низкая
28

1.2. Угрозы утечки видовой информации
0.25
Низкая
1.3. Угрозы утечки информации по каналам
ПЭМИН
0.25
Низкая
2. Угрозы несанкционированного доступа к информации.
2.1. Угрозы уничтожения, хищения аппарата!
путем физического доступа к элементам ИСГ
>ix средств ИСПДн носителей информации
Дн
2.1.1. Кража ПЭВМ
0.25
Низкая
2.1.2. Кража носителей информации
0.25
Низкая
2.1.3. Кража ключей и атрибутов доступа
0.25
Низкая
2.1.4. Кражи, модификации, уничтожения
информации
0.25
Низкая
2.1.5. Вывод из строя узлов ПЭВМ, каналов
связи
0.35
Средняя
2.1.6. Несанкционированный доступ к ин­
формации при техническом обслуживании
(ремонте, уничтожении) узлов ПЭВМ
0.25
Низкая
2.1.7. Несанкционированное отключение
средств защиты
0.25
Низкая
2.2. Угрозы хищения, несанкционированной модификации или блокирования информации
за счет несанкционированного доступа (НСД) с применением программно-аппаратных и
программных средств (в том числе программно-математических воздействий).
2.2.1. Действия вредоносных программ (ви­
русов)
0.35
Средняя
2.2.2. Не декларированные возможности си­
стемного ПО и ПО для обработки персо­
нальных данных
0.35
Средняя
2.2.3. Установка ПО, не связанного с испол­
нением служебных обязанностей
0.35
Средняя
2.3. Угрозы не преднамеренных действий пользователей и нарушений безопасности функ­
ционирования ИСПДн и СЗПДн в ее составе из-за сбоев в программном обеспечении, а
также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев
электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера.
2.3.1. Утрата ключей и атрибутов доступа
0.25
Низкая
2.3.2. Непреднамеренная модификация
(уничтожение) информации сотрудниками
0.35
Средняя
2.3.3. Непреднамеренное отключение
средств защиты
0.25
Низкая
2.3.4. Выход из строя аппаратно-
программных средств
0.35
Средняя
2.3.5. Сбой системы электроснабжения
0.35
Средняя
2.3.6. Стихийное бедствие
0.25
Низкая
2.4. Угрозы преднамеренных действий внутренних нарушителей
2.4.1. Доступ к информации, модификация,
уничтожение лиц, не допущенных к ее об­
работке
0.35
Средняя
2.4.2. Разглашение информации, модифика­
ция, уничтожение сотрудниками, допущен­
ными к ее обработке
0.25
Низкая
2.5.Угрозы несанкционированного доступа по каналам связи.
2.5.1.Угроза «Анализ сетевого трафика» с
0.35
Средняя
29

перехватом передаваемой из ИСПДн и при­
нимаемой из внешних сетей информации:
2.5.1.1. Перехват за переделами с контроли­
руемой зоны
0.25
Низкая
2.5.1.2. Перехват в пределах контролируе­
мой зоны внешними нарушителями
0.25
Низкая
2.5.1.3.Перехват в пределах контролируе­
мой зоны внутренними нарушителями.