методичка. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 2.21 Mb.
|
3. ОПРЕДЕЛЕНИЕ ВОЗМОЖНЫХ НЕГАТИВНЫХ ПОСЛЕДСТВИЙ ОТ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 3.1. Возможные негативные последствия от реализации угроз безопасности информации определяются на основе требований законодательства Российской Федерации и (или) исходя из результатов проведенной обладателем информации (оператором) оценки ущерба (рисков) от нарушения основных (критических) процессов (бизнес-процессов) и (или) от нарушения безопасности обрабатываемой информации. К негативным последствиям от реализации угроз безопасности относятся событие или группа событий, наступление которых в результате успешной реализации угроз безопасности может привести к нарушению законодательства Российской Федерации и (или) социальному, экономическому (финансовому), политическому, технологическому, экологическому ущербу, ущербу в области обеспечения обороны страны, безопасности государства и правопорядка, ущербу репутации или иным негативным последствиям, установленным законодательством Российской Федерации или определенным по результатам проведенной оценки ущерба (рисков). Возможные негативные последствия должны быть конкретизированы применительно кобластям иособенностямдеятельности обладателя информации и оператора. Для систем и сетей обладателя информации (оператора) может быть определено одно или несколько негативных последствий. Пример 2: 1) если оператор обрабатывает персональные данные граждан, которые в соответствии с Федеральным законом «О персональных данных» подлежат обязательной защите, одним из возможных негативных последствий от реализации угроз безопасности информации является утечка конфиденциальных персональных данных; 2) если оператор обеспечивает транспортировку нефти, одним из возможных негативных последствий от реализации угроз безопасности информации является загрязнение окружающей среды в результате разлива нефти из нефтепровода; 3) если оператор предоставляет услуги связи, одним из возможных негативных последствий от реализации угроз безопасности информации является непредставление услуг связи абонентам; 4) для оператора, который обеспечивает электроснабжение, в качестве одного из возможного негативного последствия от реализации угроз безопасности информации является нарушение электроснабжения потребителей; 5) для оператора по переводу денежных средств, одним из возможных негативных последствий от реализации угроз безопасности информации является хищение денежных средств 15 В случае отсутствия на момент моделирования угроз безопасности информации результатов оценки ущерба (рисков) от нарушения основных (критических) процессов (бизнес-процессов) и (или) от нарушения безопасности обрабатываемой информации, угрозы могут определяться как на основе экспертной оценки специалистов, проводящих моделирование угроз безопасности информации, так и на основе информации, представляемой подразделениями, эксплуатирующими системы и сети. 3.2. В ходе определения возможности наступления негативных последствий от реализации угроз безопасности информации выявляются информационные ресурсы и (или) компоненты систем и сетей, обрабатывающие, хранящие информацию и (или) обеспечивающие реализацию основных (критических) процессов (бизнес-процессов), неправомерный доступ к которым и (или) воздействия на которые могут привести к наступлению негативных последствий, определенных в соответствии с пунктом 3.1 настоящей Методики. К таким информационным ресурсам и (или) компонентам систем и сетей относятся: а) информация (данные), содержащаяся в системах и сетях; б) программно-аппаратные средства (в том числе автоматизированные рабочие места, серверы, в том числе промышленные, машинные носители информации, телекоммуникационное оборудование и линии связи, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства); в) программные средства; г) средства защиты информации; д) обеспечивающие системы. Информационные ресурсы и компоненты систем и сетей определяются в соответствии с их архитектурой на аппаратном, на системном и прикладном уровнях, на уровне сетевого взаимодействия, а также на уровне пользователей на основе изучения и анализа информации об архитектуре систем и сетей, их подсистем, логической структуры, видах обрабатываемой информации, информационных потоках между компонентами, картах сетей, описании внешних интерфейсов, API, сетевых потоков и иных сведений, представленных в документации (например, эскизный, технический проекты, технорабочий проект) на системы и сети. 3.3. Для каждого информационного ресурса и компонента систем и сетей обрабатывающего, хранящего информацию и (или) обеспечивающего реализацию 16 основных (критических) процессов (бизнес-процессов), должны быть определены виды неправомерного доступа и (или) воздействий, которые могут привести к наступлению негативных последствий, определенных в соответствии с пунктом 3.1 настоящей Методики. Основными видами неправомерного доступа и (или) воздействий на информационные ресурсы и (или) компоненты систем и сетей являются: а) утечка (нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных; б) несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; в) отказ в обслуживании отдельных компонентов или систем и сетей в целом; г) модификация (подмена) защищаемой информации, системных, конфигурационных, иных служебных данных; д) несанкционированное использование вычислительных ресурсов в интересах решения несвойственных задач; е) нарушение функционирования (работоспособности) средств обработки и хранения информации. Виды неправомерного доступа и (или) воздействий на информационные ресурсы и (или) компоненты систем и сетей должны быть конкретизированы применительно кархитектуре и условиям функционирования систем и сетей. Пример 3: 1) утечка конфиденциальных персональных данных и (или) их модификация возможны в результате несанкционированного доступа к базе данных, в которой эта информация храниться; 2) разлив нефти из нефтепровода возможен в результате несанкционированного доступа к программируемому логическому контроллеру, обеспечивающему управление задвижками нефтепровода, и подмены хранящихся в нем значений уставок; 3) непредставление услуг связи абонентам возможно в результате отказа в обслуживании маршрутизатора уровня ядра сети; 4) нарушение электроснабжения потребителей возможно в результате несанкционированного доступа к программируемому логическому контроллеру, управляющему выключателем, с целью подачи ложных команд на его отключение; 5) хищение денежных средств у оператора по переводу денежных средств возможно в результате подмены (модификации) информации, содержащейся в электронных сообщениях 17 3.4. В результате определения возможных негативных последствий от реализации угроз безопасности информации должны быть установлены: а) перечень возможных негативных последствий, конкретизированный применительно к областям иособенностямдеятельности обладателя информации и (или) оператора; б) информационные ресурсы и компоненты систем и сетей, обрабатывающие, хранящие информацию и (или) обеспечивающие реализацию основных (критических) процессов (бизнес-процессов); в) виды неправомерного доступа и (или) воздействий на информационные ресурсы и компоненты систем и сетей, которые могут привести к наступлению негативных последствий (угрозы безопасности информации). Примеры определения возможных негативных последствий от реализации угроз безопасности информации приведены в таблице 1. Таблица 1 Негативные последствия Информационные ресурсы, компоненты Возможные угрозы безопасности информации Разглашение персональных данных граждан База данных информационной системы, содержащая идентификационную информацию граждан Несанкционированный доступ к серверу, на котором функционирует база данных. Утечка информации, содержащей идентификационную информацию граждан Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных Перехват (нарушение конфиденциальности) информации, содержащей идентификационную информацию граждан, передаваемой по линиям связи Удаленное автоматизированное рабочее место (АРМ) пользователя Несанкционированный доступ к АРМ пользователя, с которого вводится идентификационная и аутентификационная информация. Нарушение конфиденциальности логина и пароля пользователя для удаленного доступа к своим персональным данным, хранящимся в базе данных Загрязнение окружающей среды и водоемов в результате разлива нефти из нефтепровода Коммутационный контроллер для управления аварийными задвижками в нефтепроводе Перезапись регистров памяти коммутационного контроллера, приводящая к нарушению функционирования коммутационного контроллера. 18 Негативные последствия Информационные ресурсы, компоненты Возможные угрозы безопасности информации Подмена команд в пакетах промышленного протокола, приводящая к изменению параметров функционирования контроллера АРМ оператора Несанкционированный доступ к АРМ оператора и несанкционированная отправка команд, приводящая к несрабатыванию средств аварийной защиты и изменению логики ПЛК Программируемый логический контроллер (ПЛК) для управления насосными станциями Изменение логики и уставок в ПЛК, приводящее к несрабатыванию аварийных задвижек Хищение денежных средств со счета организации Банк-клиент Подмена данных, содержащихся в реквизитах платежного поручения АРМ финансового директора организации Модификация информации в платежных распоряжениях и отправка недостоверных распоряжений от имени финансового директора АРМ главного бухгалтера организации Подмена данных, содержащих реквизиты платежных поручений и другой платежной информации, на АРМ главного бухгалтера Срыв запланированной сделки с партнером АРМ председателя совета директоров Модифицирование информации и отправка электронных писем с недостоверной информацией от имени председателя совета директоров Невозможность (прерывание) предоставления услуг (сервисов) Веб-приложение (сайт) портала государственных услуг (сервисов) Отказ в обслуживании веб-приложения. Нарушение логики работы веб-приложения Сервер баз данных портала государственных услуг (сервисов) Отказ в обслуживании сервера баз данных. Подмена информации в базах данных на недостоверную информацию Нарушение выборного процесса Сервер баз данных с результатами голосования Искажение информации в таблицах базы данных Снижение показателей заказа в области обеспечения обороны страны, безопасности государства и правопорядка Электронная торговая площадка для гособоронзаказа Отказ в обслуживании электронной торговой площадки. Модифицирование информации о проводимых торгах на страницах веб-приложения 19 4. ОЦЕНКА УСЛОВИЙ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 4.1. При моделировании угроз безопасности информации на основе анализа архитектуры и условий функционирования систем и сетей должны быть оценены условия, которые может обладать нарушитель для реализации угроз безопасности информации. 4.2. Условиями, необходимыми для реализации угроз безопасности информации, являются: а) наличие уязвимостей и (или) недекларированных возможностей в системах и сетях, использование которых возможно нарушителем; б) наличия доступа к компонентам систем и сетей для реализации угроз безопасности информации. 4.3. При реализации угроз безопасности информации могут быть использованы уязвимости кода (программного обеспечения), уязвимости архитектуры и конфигурации систем и сетей, а также организационные уязвимости. При этом уязвимости кода, архитектуры и конфигурации могут использоваться в микропрограммном, общесистемном и прикладном программном обеспечении, телекоммуникационном оборудовании и в средствах защиты информации. Более высокие возможности нарушителя позволяют ему использовать уязвимости, которые являются более сложными с точки зрения их идентификации и использования. Описание уязвимостей, которые могут быть использованы для реализации угроз безопасности информации, содержится в ГОСТ Р 56546-2015 «Защита информации. Уязвимости информационных систем. Классификация уязвимостей информационных систем». 4.4. Недекларированные возможности представляют собой потенциально опасные функциональные возможности средств обработки и хранения информации, которые могут быть использованы для реализации угроз безопасности информации. Реализация угроз безопасности информации, связанных с недекларированными возможностями, возможна нарушителями, имеющими необходимый уровень возможностей для их внедрения и использования. Недекларированные возможности могут быть внедрены непосредственно разработчиком этих средств или иными видами нарушителей на этапах разработки, производства, поставки или ремонта средств обработки и хранения информации. 20 4.5. При моделировании угроз безопасности информации на этапе создания систем и сетей оценивается наличие и возможность использования нарушителем потенциальных уязвимостей. Предположение о наличии потенциальных уязвимостей делается на основе анализа информации о типовых уязвимостях, ошибках, описаниях шаблонов атак, информации об эксплойтах, характерных для классов, типов и версий программного обеспечения, программно-аппаратных средств, средств защиты информации, применяемых (планируемых к применению) в системах и сетях. 4.6. При моделировании угроз безопасности информации на этапе эксплуатации систем и сетей возможность идентификации и использования уязвимости оценивается по результатам контроля защищенности систем и сетей (тестирований на проникновение), в том числе с учетом функциональных возможностей и настроек средств защиты информации. Вывод о возможности идентификации и использования уязвимостей делается, если по результатам экспертного анализа и (или) тестирований на проникновение подтверждена возможность их эксплуатации нарушителем. 4.7. В зависимости от архитектуры и условий функционирования систем и сетей для реализации угроз безопасности информации может быть использован удаленный, локальный или физический доступ к информационным ресурсам и (или) компонентам. Удаленный доступ при реализации угроз безопасности информации осуществляется нарушителем из-за границы систем и сетей при их взаимодействии с сетями связи общего пользования, в первую очередь с сетью Интернет. При удаленном доступе воздействия на информационные ресурсы и компоненты систем и сетей реализуются посредством сетевых протоколов. При этом могут быть использованы сетевые протоколы на всех уровнях сетевой эталонной модели OSI. Угрозы безопасности информации при удаленном доступе реализуются внешними нарушителями, не обладающими правами в системах и сетях (рисунок 6). 21 Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Периметр информационной инфраструктуры Серверные станции Интернет Удаленный доступ Рисунок 6 – Реализация угроз безопасности информации при удаленном доступе Локальный доступ при реализации угроз безопасности информации может осуществляться нарушителем в пределах границ систем и сетей. При локальном доступе неправомерный доступ и (или) воздействие на информационные ресурсы и компоненты реализуются при наличии и использовании локальной учетной записи пользователя, зарегистрированной в системе или сети. Удаленное использование нарушителем локальной учетной записи пользователя, в том числе из взаимодействующей (смежной) системы или сети Интернет, при реализации угрозы безопасности информации относится к локальному доступу. Угрозы безопасности информации при локальном доступе реализуются внутренними нарушителями или внешними в случае получения ими локального доступа (рисунок 7). 22 Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Периметр информационной инфраструктуры Рисунок 7 – Реализация угроз безопасности информации при локальном доступе Физический доступ для реализации угроз безопасности информации может осуществляться нарушителями в пределах границ систем и сетей и при наличии у них непосредственного физического доступа к средствам обработки и хранения информации. Целью физического доступа нарушителя также может являться получение локального доступа для реализации локальных угроз безопасности информации (рисунок 8). В этом случае оценке подлежат угрозы безопасности информации, связанные с локальным доступом к информационным ресурсам и компонентам систем и сетей. Пример 4: Основным отличием угроз безопасности информации, связанных с физическим доступом, от угроз безопасности информации, связанных с локальным доступом, является возможность реализации угроз без доступа к информационным ресурсам. Например, кража машинного носителя информации или физическое разрушение средств обработки или хранения информации, повлекшие нарушение функционирования систем и сетей. 23 Терминал Терминал Терминал Сетевое оборудование Терминал Терминал Рисунок 8 - Реализация угроз безопасности информации при физическом доступе 4.8. Для непреднамеренных угроз безопасности информации условием их возникновения является наличие у внутреннего нарушителя локального и (или) физического доступа к системам и сетям. При этом внутренний нарушитель может иметь привилегированные или непривилегированные права по доступу к информационным ресурсам и (или) компонентам систем и сетей. 4.9. По результатам оценки условий реализации угроз безопасности информации должны быть определены: а) типы уязвимостей и (или) недекларированные возможности в компонентах систем и сетей, которые могут быть использованы нарушителем для реализации угроз безопасности информации; б) варианты возможного доступа нарушителей к информационным ресурсам и компонентам систем и сетей для реализации угроз безопасности информации. |