методичка. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 2.21 Mb.
|
человеческие жертвы Следует недопустимый финансовый ущерб Получен доступ Возможен недопустимый ущерб в виде простоя бизнес-процессов компании из-за вывода из строя инфраструктуры или шифрования информации Описание техники реализации угроз безопасности информации Недопустимое негативное последствие Внутренний нарушитель подключает внешнее устройство к АРМ оператора, или реализует угрозы на уровне сети Следует недопустимый финансовый ущерб Подбор пароля АРМ Получен доступ Изменение логики и уставок в ПЛК, приводящие к несрабатыванию аварийных задвижек Угроза безопасности информации Отказ в обслуживании веб-приложения Отказ в обслуживании веб-приложения Отправка заведомо ложных распоряжений от имени финансового директора Рисунок 11 - Примеры действий нарушителя, образующих сценарии реализации угроз безопасности информации 42 7. ОЦЕНКА УРОВНЕЙ ОПАСНОСТИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 7.1. Оценка уровня опасности угроз безопасности информации проводится в отношении каждой i – ой угрозы безопасности информации с j-м сценарием ее реализации (УБИ ij ). Если для одной угрозы безопасности информации возможна реализация нескольких сценариев ее реализации, оценка уровня опасности данной угрозы проводится для каждого сценария ее реализации. 7.2. Оценка уровня опасности угрозы безопасности информации предусматривает оценку сложности ее реализации для рассматриваемой архитектуры и условий функционирования систем и сетей, а также возможного масштаба негативных последствий (ущерба) в случае успешной реализации этой угрозы. По уровням опасности угрозы безопасности информации подразделяются на угрозы высокого, среднего, низкого уровня опасности. 7.3. Уровни опасности угроз безопасности информации определяются как в ходе проектирования системы защиты и внедрения мер защиты информации (обеспечения безопасности), так и в ходе эксплуатации систем и сетей. В ходе проектирования систем и сетей и внедрения мер защиты информации (обеспечения безопасности) уровни опасности угроз безопасности информации оцениваются с целью определения наиболее уязвимых информационных ресурсов и компонентов систем и сетей. В ходе эксплуатации систем и сетей уровни опасности угроз безопасности информации определяются с целью установления приоритетов в реализации мероприятий по защите информации (обеспечению безопасности). 7.4. Уровень опасности угрозы безопасности информации определяется путем оценки следующих показателей: а) тип доступа к системе или сети, необходимый для реализации сценария угрозы безопасности информации; б) сложность сценария реализации угрозы безопасности информации; в) уровень значимости информационных ресурсов или компонентов, на которые направлена угроза безопасности информации. 7.5. По типу доступа к системе или сети угрозы безопасности информации подразделяются на физические, локальные, удаленные (таблица 5). 43 Таблица 5 Тип доступа Описание типов доступа Физический Сценарий реализации угрозы безопасности информации предусматривает физический доступ нарушителя к средствам обработки и хранения информации. Например, угроза вывода из строя или хищения машинного носителя информации Локальный Сценарий реализации угрозы безопасности информации предусматривает локальный доступ (наличие локальной учетной записи) нарушителя к системе или сети. Например, угроза несанкционированного изменения настроек программного обеспечения от имени системного администратора Удаленный Сценарий реализации угрозы безопасности информации предусматривает доступ нарушителя к системе или сети, реализуемым посредством сетевого удаленного взаимодействия. Угрозы безопасности информации могут быть удаленно реализуемый, когда реализация угроз происходит на уровне протокола одного или нескольких сетевых переходов (например, через несколько маршрутизаторов), и смежной, когда реализация угрозы происходит из общей физической или логической сети и ограничена только логически смежной топологией. Например, угроза отказа в обслуживании путем отправки специально созданного TCP-пакета 7.6. По сложности сценария реализации угрозы безопасности информации подразделяются на угрозы безопасности информации, имеющие высокий, средний, повышенный и умеренный уровень сложности (таблица 6). Таблица 6 Уровень сложности Описание уровней сложности Умеренный Сценарий реализации угроз безопасности информации может быть реализован нарушителем с базовым потенциалом Повышенный Сценарий реализации угроз безопасности информации может быть реализован нарушителем с базовым повышенным потенциалом 44 Средний Сценарий реализации угроз безопасности информации может быть реализован нарушителем со средним потенциалом Высокий Сценарий реализации угроз безопасности информации может быть реализован нарушителем с высоким потенциалом 7.7. По уровню значимости информационных ресурсов или компонентов, на которые направлена угроза безопасности информации, угрозы подразделяются на угрозы, направленные на информационные ресурсы или компоненты низкой значимости, угрозы, направленные на информационные ресурсы или компоненты средней значимости, и угрозы, направленные на информационные ресурсы или компоненты высокой значимости (таблица 7). Таблица 7 Значимость информационных ресурсов и (или) компонентов Описание Низкая В результате реализации угрозы будет нарушена безопасность информации, относящейся к одному пользователю, или система (сеть) сможет выполнять возложенные на нее функции (обеспечивать критический процесс) с недостаточной эффективностью или для выполнения функций (обеспечения критического процесса) потребуется привлечение дополнительных сил и средств Средняя В результате реализации угрозы безопасности информации будет нарушена безопасность информации, относящейся более чем к одному пользователю, или система (сеть) не сможет выполнять хотя бы одну из возложенных на нее функций или обеспечивать один критический процесс Высокая В результате реализации угрозы безопасности информации будет нарушена безопасность информации, относящейся ко всем пользователям, или система (сеть) не сможет выполнять возложенные на нее функции или обеспечивать критические процессы 45 7.8. Для каждого показателя установлены и приведены в таблице 8 числовые значения, сопоставленные с семантическими значениями таких показателей, описанными в разделах 7.5 – 7.7. Таблица 8 Показатель уровня опасности Значения показателей уровня опасности Тип доступа (d) Удаленный 3 Локальный 2 Физический 1 Уровень сложности (p) Умеренный 4 Повышенный 3 Средний 2 Высокий 1 Значимость информационных ресурсов, компонентов (s) Низкая 1 Средняя 2 Высокая 3 На основе числовых значений показателей уровня опасности угрозы безопасности информации, определяемых с использованием таблицы 8, рассчитывается их сумма (w): W = d + p + s На основе суммы числовых значений показателей определяется уровень опасности каждой угрозы безопасности информации (w) с j-м сценарием ее реализации в соответствии с таблицей 9. Таблица 9 Уровень опасности угрозы безопасности информации Диапазон значений (w) Низкий w ≤4 Средний 5 ≤ w ≤ 7 Высокий 8≤ w 46 7.10. Угроза безопасности информации подлежит описанию в формате, приведенной в таблице 10. Таблица 10 Идентификатор Указывается идентификатор, содержащийся в банке данных угроз безопасности или ином источнике Наименование Указывается наименование угрозы, содержащееся в банке данных угроз безопасности Описание Указывается описание угрозы, содержащееся в банке данных угроз безопасности или ином источнике Сценарии Описываются все возможные сценарии реализации угроз безопасности информации Уровень опасности Указывается значение уровня опасности угрозы с конкретным сценарием ее реализации 47 Приложение № 1 к Методике моделирования угроз безопасности информации Термины и определения, применяемые для целей настоящего методического документа Архитектура систем и сетей: совокупность основных структурно- функциональных характеристик и свойств систем и сетей, воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации. Взаимодействующая (смежная) система: система или сеть, которая в рамках установленных функций имеет сетевое взаимодействие с системой или сетью оператора и не включена им в границу моделирования угроз безопасности информации. Граница моделирования угроз безопасности информации: совокупность информационных ресурсов и компонентов систем и сетей, в пределах которой обеспечивается защита информации в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации. Информационно-телекоммуникационная (информационная) инфраструктура: совокупность информационных (автоматизированных) систем, информационно-телекоммуникационных сетей, сайтов в сети Интернет, отдельных средств вычислительной техники, программного обеспечения, обеспечивающих систем, используемых оператором для реализации функций (полномочий) или видов деятельности. Информационные ресурсы: данные, информация, процессы, информационные (автоматизированные) системы, информационно- телекоммуникационные сети, сайты в сети Интернет, входящее в состав системы или сети. Компонент системы (сети): программное, программно-аппаратное или техническое средство, входящее в состав системы или сети. 48 Локальный доступ: доступ субъектов доступа к объектам доступа, осуществляемый непосредственно через подключение (доступ) к компоненту систем или через локальную вычислительную сеть (без использования информационно-телекоммуникационной сети). Обладатель информации: лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Оператор: лицо, осуществляющее деятельность по эксплуатации информационной системы или сети, в том числе по обработке содержащейся в них информации. Пользователь: лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в системе или сети и использующее результаты ее функционирования. Поставщик услуг: лицо, предоставляющее оператору и (или) обладателю на основании договора или ином законном основании услуги по использованию своих вычислительных ресурсов, программного обеспечения, средств хранения или передачи информации. Программно-аппаратное средство: устройство, состоящее из аппаратного обеспечения и функционирующего на нем программного обеспечения, участвующее в формировании, обработке, передаче или приеме информации в информационной инфраструктуре. Удаленный доступ: процесс получения с использованием сетевых протоколов доступа (через внешнюю сеть) к объектам доступа систем и сетей из другой системы и сети или со средством вычислительной техники, не являющимся постоянно (непосредственно) соединенным физически или логически с системой, к которой он получает доступ. Уязвимость: недостаток (слабость) системы или сети, который (которая) создает потенциальные или реально существующие условия для реализации или проявления угроз безопасности информации. 49 Приложение № 2 к Методике моделирования угроз безопасности информации Рекомендации по формированию экспертной группы и проведению экспертной оценки при моделировании угроз безопасности информации Качественное формирование экспертной группы способствует снижению субъективных факторов при моделировании угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при моделировании угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихся неактуальными. Независимо от результата формирования экспертной группы при моделировании угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при моделировании угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз. Любое решение, принимаемое экспертами при моделировании угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»). а) формирование экспертной группы В состав экспертной группы для моделирования угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций): от подразделений обладателей информации, содержащейся в системах и сетях; от подразделений оператора; 50 от подразделения по защите информации (обеспечения безопасности); от лиц, предоставляющих услуги или сервисы; от разработчиков систем и сетей; от операторов взаимодействующих систем и сетей. В качестве экспертов рекомендуется привлекать специалистов, деятельность которых связана с обработкой информации в системах и сетях, а также специалистов, имеющих квалификацию и опыт работы в области применения информационных технологий и в области защиты информации (обеспечения информационной безопасности). При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образование или прошедших переподготовку (повышение квалификации) по направлению подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности. Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации. Состав экспертной группы зависит от назначения систем и сетей, но не должен быть меньше трех экспертов. б) проведение экспертной оценки При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации. Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров: а) негативные последствия от реализации угроз безопасности информации; б) цели реализации угроз безопасности информации, категория, виды и возможности нарушителей; в) условия реализации угроз безопасности информации; г) сценарии действий нарушителей при реализации угроз безопасности информации; д) характеристики опасности угроз безопасности информации. Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты 51 ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы. Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1; после оценки каждым из экспертов отбрасываются минимальные и максимальные значения; определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра. Пример таблицы результатов оценки параметров Таблица 2.1 Эксперты Значение оцениваемого параметра (раунд 1) Значение оцениваемого параметра (раунд 2) Эксперт 1 Эксперт 2 Эксперт n Итоговое значение 52 Приложение № 3 к Методике моделирования угроз безопасности информации УТВЕРЖДАЮ Руководитель органа государственной власти (организации) или иное уполномоченное лицо ________________________ «___» ______________20__г. Модель угроз безопасности информации «_________________________________________________» наименование системы и (или) сети 53 1. Общие положения Раздел «Общие положения» содержит назначение и область действия документа, наименование систем и сети, для которых разработана модель угроз безопасности информации, а также информацию об использованных нормативных правовых актах, методических документах, национальных стандартах, а также источниках, на основе которых определены угрозы безопасности информации. 2. Характеристика информационной инфраструктуры Раздел «Характеристика информационной инфраструктуры» содержит: описание информационных ресурсов и компонентов систем и сетей, обрабатывающих, хранящих информацию и (или) обеспечивающих реализацию основных (критических) процессов (бизнес-процессов), категории (роли) пользователей, интерфейсы взаимодействия с пользователями, со смежными (взаимодействующими) системами и сетями, а также состав и типы обеспечивающих систем, включенных в границу моделирования угроз безопасности информации; назначение систем и сетей (если в границу включены несколько сетей и систем) и основных компонент систем и сетей, выполняемые им функции, решаемые с их использование задачи; маршруты передачи информации между компонентами систем и сетей; описание режимов обработки информации; наличие и способы взаимодействия систем и сетей с сетью Интернет. В случае если информационные системы и сети функционируют на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, в модель угроз безопасности информации включается описание архитектура этой информационно-телекоммуникационной инфраструктуры. 3. Возможные негативные последствия от реализации угроз безопасности информации Раздел «Возможные последствия от реализации угроз безопасности информации» содержит описание: возможных негативных последствий, конкретизированных применительно к областям иособенностямдеятельности обладателя информации и (или) оператора; информационных ресурсов и компонентов систем и сетей, обрабатывающих, хранящих информацию и (или) обеспечивающих реализацию 54 основных (критических) процессов (бизнес-процессов), неправомерный доступ к которым или воздействие на которые может привести к негативным последствиям; видов неправомерного доступа и (или) воздействий на информационные ресурсы и компоненты систем и сетей, которые могут привести к наступлению негативных последствий (угрозы безопасности информации). 4. Источники угроз безопасности информации и результаты оценки возможностей нарушителя (модель нарушителя) Раздел «Источники угроз безопасности информации и результаты оценки возможностей нарушителя (модель нарушителя)» содержит описание: источников угроз безопасности информации; возможных целей реализации угроз безопасности информации нарушителями; категорий и видов нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы (актуальные нарушители); возможности каждого вида нарушителей по реализации угроз безопасности информации в соответствии с архитектурой и условиями функционирования систем и сетей. 5. Сценарии реализации угроз безопасности информации Раздел «Сценарии реализации угроз безопасности информации» содержит перечень угроз безопасности информации для рассматриваемых архитектуры и условий систем и сетей. Для каждой угрозы безопасности информации должным быть приведены: источник угрозы безопасности информации, категория и вид нарушителя; условия для реализации угроз безопасности информации; описание сценариев реализации угрозы безопасности информации; возможные последствия от реализации угрозы безопасности информации. 6. Результаты оценки уровня опасности угроз безопасности информации Раздел «Результаты оценки уровня опасности потенциальных угроз безопасности информации» содержит уровни опасности каждой угрозы безопасности информации с конкретными сценариями ее реализации. |