методичка. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 2.21 Mb.
|
5. ИСТОЧНИКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И ОЦЕНКА ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ 5.1. Источниками угроз безопасности информации для систем и сетей могут являться: а) техногенные источники; б) антропогенные источники. При моделировании угроз безопасности информации оценке подлежат угрозы, связанные со всеми типами источников. В целях создания и эксплуатации адекватной эффективной системы защиты следует, в первую очередь, уделять внимание оценке антропогенных источников угроз, связанных с действиями нарушителей. Оценка возможностей нарушителей включает определение категорий, видов нарушителей, их компетенции и оснащенности, которыми они могут обладать для реализации угроз безопасности информации. 5.2. Возникновение угроз безопасности информации, связанных с техногенными источниками, возможно вследствие: а) недостатков качества, надежности программного обеспечения, программно-аппаратных средств, обеспечивающих обработку и хранение информации, их линий связи (далее – средства обработки и хранения информации); б) недостатков в работе обеспечивающих систем; в) особенностей организации процессов у оператора (например, недостатки в организации работ по найму персонала, временные ограничения на реализацию мер); г) недоступности сервисов, предоставляемых сторонними организациями; д) недостатков гарантийного, технического обслуживания со стороны обслуживающих организаций и лиц, ошибок, допущенных при таком обслуживании. Источниками техногенных угроз безопасности информации также могут быть природные явления (землетрясения, осадки, недопустимые температурные режимы), если в результате их возникновения возможно нарушение функционирования средств обработки и хранения информации и (или) обеспечивающих систем. Угрозы безопасности информации, связанные с техногенными источниками, включаются в модель угроз, если к системам и сетям предъявлены требования к устойчивости и надежности функционирования. Негативными последствиями от возникновения угроз безопасности информации, связанных с 25 техногенными источниками, являются нарушение или прекращение функционирования систем и сетей, их отдельных компонентов или обеспечивающих систем. Возможность возникновения таких угроз определяется на основе статистики их возникновения за прошлые годы. В случае отсутствия указанной статистики возможно использование экспертного метода оценки. 5.3. Источником антропогенных угроз безопасности информации является лицо (группа лиц), осуществляющее реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействий на информационные ресурсы и (или) компоненты систем и сетей. Действия по реализации угроз безопасности информации могут осуществляться нарушителем преднамеренно (преднамеренные угрозы безопасности информации) или непреднамеренно (непреднамеренные угрозы безопасности информации) с использованием программных, программно- аппаратных средств или без использования таковых. Отдельные угрозы безопасности информации могут быть реализованы опосредованно за счет внедрения программных, программно-аппаратных или аппаратных закладок. Если угроза безопасности информации может быть реализована за счет внедрения программной, программно-аппаратной или аппаратной закладки, функционирование которой не требует участия нарушителя, в качестве источника угрозы безопасности информации может рассматриваться как лицо, внедрившее закладку, так и непосредственно закладка. 5.4. В зависимости от имеющихся прав и возможностей нарушители подразделяются на две категории: внешние нарушители – субъекты, не имеющие полномочий по доступу к информационным ресурсам и компонентам систем и сетей; внутренние нарушители – субъекты, имеющие полномочия по доступу к информационным ресурсам и компонентам систем и сетей. Пример 5: для несанкционированного доступа к данным о конфигурации программного обеспечения и вывода сведений об этом из системы может быть использована программная закладка. В случае невозможности установления категории и вида нарушителя, внедрившего программную закладку, в качестве источника данной угрозы рассматривается непосредственно программная закладка 26 Внешние нарушители являются актуальными, когда системы и сети имеют взаимодействие с сетью Интернет или смежными (взаимодействующими) системами и сетями, в том числе посредством использования съемных машинных носителей информации, а также в случаях, когда имеется возможность физического доступа к средствам обработки и хранения информации, их линиям связи, расположенным вне контролируемой (охраняемой) зоны (территории) (рисунок 9). Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Граница информационной инфраструктуры Серверные станции Интернет Рисунок 9 – Внешний нарушитель при реализации угроз безопасности информации Пример 6: 1) внешнего нарушителя в качестве актуального необходимо рассматривать в случаях, если имеется возможность доступа нарушителя к незащищенным линиям связи информационно-телекоммуникационной сети, проложенных в общих коммутационных каналах за пределами контролируемой (охраняемой) зоны (территории), или средствам обработки и хранения информации, расположенным вне контролируемой (охраняемой) зоны (территории); 2) внешний нарушитель является актуальным, если для обработки информации в изолированных системах и сетях применяются съемные машинные носители информации, которые одновременно используются для обработки, хранения, переноса информации из сети Интернет или смежных (взаимодействующих) систем и сетей 27 Внешний нарушитель, получивший в результате реализации угроз безопасности информации полномочия по доступу к компонентам систем и сетей, при дельнейшей оценке рассматривается как внешний нарушитель с возможностями внутреннего нарушителя. В качестве внутренних нарушителей в системах и сетях должны рассматриваться пользователи, имеющие полномочия по доступу к информационным ресурсам и компонентам систем и сетей, а также персонал, обеспечивающий их функционирование (например, персонал, обеспечивающий гарантийную, техническую поддержку, ремонт, восстановление после сбоев, настройку). К внутренним нарушителям относятся пользователи, имеющие как непривилегированные (пользователи), так и привилегированные (администраторы) права доступа к компонентам систем и сетей (рисунок 10). Терминал Терминал Терминал Терминал Сетевое оборудование Терминал Терминал Терминал Терминал Терминал Сетевое оборудование Граница информационной ( автоматизированной) системы Рисунок 10 – Внутренний нарушитель при реализации угроз безопасности информации 5.5. Для каждой из категорий нарушителей, актуальных для систем и сетей, должны быть определены виды нарушителей и их возможности по реализации угроз безопасности информации. Виды нарушителей определяются на основе предположений о возможных целях реализации этими нарушителями угроз безопасности информации, которые зависят от назначения систем и сетей, выполняемых ими функций и решаемых с их использованием задач, а также 28 значимости обрабатываемой информации. Возможные цели нарушителя при реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в таблице 2. Таблица 2 № п/п Возможные цели реализации угроз безопасности информации Виды нарушителя Уровень возможностей нарушителя (потенциал) 1. Нанесение ущерба государству, отдельным его сферам (областям) деятельности или секторам экономики Специальные службы иностранных государств Высокий 2. Нарушение или прекращение функционирования, дискредитация деятельности органов государственной власти, корпораций, организаций Специальные службы иностранных государств Высокий Террористические, экстремистские организации Средний 3. Публикация недостоверной социально значимой информации на веб- ресурсах организации, которая может привести к социальной напряженности, панике среди населения и т.п. Специальные службы иностранных государств Базовый повышенный 4. Нарушение работоспособности систем и сетей органов государственной власти, предприятий оборонно- промышленного комплекса Специальные службы иностранных государств Высокий Террористические, экстремистские организации Средний 5. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса, если это ведет к выводу из строя технологических объектов, их компонент или к техногенным авариям Специальные службы иностранных государств Высокий Террористические, экстремистские организации Средний 6. Доступ к персональным данным сотрудников органов государственной власти, уполномоченных в области обеспечения обороны, безопасности и правопорядка, высших должностных лиц государственных органов и других лиц государственных органов Специальные службы иностранных государств Высокий Террористические, экстремистские организации Средний 7. Публикация недостоверной информации на веб-ресурсах организации Преступные группы Базовый повышенный 8. Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением Преступные группы Базовый повышенный 9. Искажение информации для получения финансовой выгоды Преступные группы Базовый повышенный 29 № п/п Возможные цели реализации угроз безопасности информации Виды нарушителя Уровень возможностей нарушителя (потенциал) 10. Тестирование хакерских инструментов или апробация описанных способов осуществления атак Физические лица Базовый 11. Рассылка информационных сообщений с использованием вычислительных мощностей оператора и(или) от его имени Преступные группы Базовый повышенный 12. Получение доступа к системам и сетям с целью незаконного использования вычислительных мощностей Преступные группы Базовый повышенный 13. Получение доступа к системам и сетям с целью дальнейшей продажи доступа Преступные группы Базовый повышенный 14. Получение преимущества за счет нарушения работоспособности систем и сетей Конкурирующие организации Базовый повышенный 15. Нарушение работоспособности систем и сетей по причинам личной неприязни Физические лица Базовый 16. Хищение денежных средств Преступные группы Базовый повышенный 17. Нарушение штатного режима функционирования автоматизированной системы управления и управляемого объекта и/или процесса Конкурирующие организации Базовый повышенный 18. Внедрение скрытых функций в продукцию на этапе разработки, производства, поставки Специальные службы иностранных государств Высокий Разработчики, производители, поставщики программных, программно-аппаратных средств Средний 19. Внедрение скрытых функций в компоненты систем и сетей на этапе эксплуатации, ремонта Лица, привлекаемые для ремонта, регламентного обслуживания и иных работ Базовый повышенный 20. Кража конфиденциальной информации Преступные группы Базовый повышенный Конкурирующие организации Базовый повышенный Лица, привлекаемые для администрирования (управления) Базовый повышенный Лица, привлекаемые для ремонта, регламентного Базовый повышенный 30 № п/п Возможные цели реализации угроз безопасности информации Виды нарушителя Уровень возможностей нарушителя (потенциал) обслуживания и иных работ Лица, обеспечивающие функционирование или обслуживание обеспечивающих систем, уборку, охрану Базовый Отдельные физические лица (хакеры) Базовый Пользователи (привилегированные, непривилегированные) Базовый 21. Непреднамеренные, неосторожные или неквалифицированные действия Лица, привлекаемые для ремонта, регламентного обслуживания и иных работ Базовый повышенный Лица, обеспечивающие функционирование или обслуживание обеспечивающих систем, уборку, охрану Базовый повышенный Пользователи (привилегированные, непривилегированные) Базовый Лица, привлекаемые для администрирования (управления) Базовый 22. Незаконное обогащение путем вымогательства денежных средств за восстановление доступа к заблокированным данным Преступные группы Базовый повышенный Для одной системы или сети актуальными могут являться нарушители нескольких видов с разными уровнями возможностей (потенциала). При этом меры по защите информации (обеспечению безопасности) в системах и сетях принимаются в соответствии с уровнями возможностей актуальных нарушителей. Пример 7: 1) для государственной информационной системы, в которой обрабатывается информация о состоянии бюджета бюджетной системы, актуальными нарушителями могут являться как специальные службы, так и отдельные физические лица; 2) для информационной системы, обрабатывающей персональные данные сотрудников правоохранительных органов, актуальными нарушителями могут являться террористические, экстремистские организации, преступные группы, которые обладают разными уровнями возможностей 31 При определении видов нарушителей, актуальных для систем и сетей, отдельные виды нарушителей могут быть исключены из рассмотрения, если у обладателя информации и (или) оператора в соответствии с законодательством Российской Федерации принимаются правовые, организационные или иные меры, исключающие возможность реализации им угроз безопасности (например, проверочные мероприятия, использование полиграфа). 5.6. Возможности (потенциал) нарушителей определяются компетентностью и оснащенностью, требуемыми им для реализации угроз безопасности информации. Уровни возможностей (потенциала) нарушителей приведены в таблице 3. Таблица 3 № Уровень возможностей нарушителей Возможности нарушителей по реализации угроз безопасности информации Н1 Нарушитель, обладающий базовыми возможностями (потенциалом) Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты. Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети Интернет и разработанные другими лицами, имеют минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Обладает базовыми компьютерными знаниями и навыками на уровне пользователя. Таким образом, нарушители с базовыми возможностями (потенциалом) имеют возможность реализовывать только известные угрозы и компьютерные атаки, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов Н2 Нарушитель, обладающий базовыми повышенными возможностями (потенциалом) Обладает всеми возможностями нарушителей с базовыми возможностями. Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети Интернет и разработанные другими лицами, однако хорошо владеют этими средствами и инструментами, понимают, как они работают и могут вносить изменения в их функционирование для повышения эффективности реализации угроз. Хорошо владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеют знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах 32 № Уровень возможностей нарушителей Возможности нарушителей по реализации угроз безопасности информации Таким образом, нарушители с базовыми повышенными возможностями (потенциалом) имеют возможность реализовывать сценарии угроз и компьютерные атаки, в том числе направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети Интернет. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей Н3 Нарушитель, обладающий средними возможностями (потенциалом) Обладает всеми возможностями нарушителей с базовыми повышенными возможностями. Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемую на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность самостоятельно разрабатывать средства (инструменты), необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных средств. Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно- аппаратным средствам для проведения их анализа. Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях. Обладает высокими знаниями и практическими навыками о функционировании систем и сетей, операционных систем, а также имеют глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах. Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц |