описание мотивации угроз фстэк. Федеральная служба по техническому и экспортному контролю (фстэк россии)
Скачать 0.57 Mb.
|
определение актуальности угрозы безопасности информации Решение об актуальности угрозы безопасности информации УБИ j А для информационной системы с заданными структурно-функциональными характе- ристиками и условиями функционирования принимается в соответствии с таб- лицей 8. Таблица 8 Вероятность (воз- можность) реали- зации угрозы (Y j ) Степень возможного ущерба (Х j ) Низкая Средняя Высокая Низкая неактуальная неактуальная актуальная Средняя неактуальная актуальная актуальная Высокая актуальная актуальная актуальная 32 Приложение № 1 к Методике определения угроз безопасности информации в информационных системах Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре- зультате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой не- оправданные расходы на нейтрализацию угроз, являющихся неактуальными. Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз. Любое решение, принимаемое экспертами при определении угроз безопас- ности информации, должно исходить из правил, при которых нарушитель нахо- дится в наилучших условиях для реализации угрозы безопасности (принципа «гарантированности»). а) формирование экспертной группы В состав экспертной группы для определения угроз безопасности инфор- мации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или не- скольких организаций): от подразделений обладателей информации, содержащейся в информаци- онной системе; от подразделений оператора информационной системы; от подразделения по защите информации; от лиц, предоставляющих услуги по обработке информации; от разработчика информационной системы; от операторов взаимодействующих внешних информационных систем (по согласованию). В качестве экспертов рекомендуется привлекать специалистов, деятель- ность которых связана с обработкой информации в информационной системе, а 33 также специалистов, имеющие квалификацию и опыт работы в области приме- нения информационных технологий и (или) в области защиты информации. При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образова- ние или прошедших переподготовку (повышение квалификации) по направле- нию подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности. Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экс- пертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасно- сти информации. Состав экспертной группы зависит от целей и задач информационной си- стемы, но не должен быть меньше трех экспертов. б) проведение экспертной оценки При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации. Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров: цели реализации угроз безопасности информации (мотивация нарушите- лей); типы и виды нарушителей; уязвимости, которые могут быть использованы для реализации угроз без- опасности информации; способы реализации угроз безопасности информации; степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации; последствия от реализации угроз безопасности информации; вероятность реализации угроз безопасности информации; уровень защищенности информационной системы; потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасно- сти информации). Оценку параметров рекомендуется проводить опросным методом с состав- лением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы. Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1; 34 после оценки каждым из экспертов отбрасываются минимальные и макси- мальные значения; определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра. Пример таблицы результатов оценки параметров Таблица 1.1 Эксперты Значение оцениваемого параметра (раунд 1) Значение оцениваемого параметра (раунд 2) Эксперт 1 Эксперт 2 Эксперт n Итоговое значение 35 Приложение № 2 к Методике определения угроз безопасности информации в информационных системах Структура модели угроз безопасности информации Модель угроз безопасности информации содержит следующие разделы: 1. Общие положения. 2. Описание информационной системы и особенностей ее функционирова- ния. 2.1. Цель и задачи, решаемые информационной системой. 2.2. Описание структурно-функциональных характеристик информацион- ной системы. 2.3. Описание технологии обработки информации. 3. Возможности нарушителей (модель нарушителя). 3.1. Типы и виды нарушителей. 3.2. Возможные цели и потенциал нарушителей. 3.3. Возможные способы реализации угроз безопасности информации. 4. Актуальные угрозы безопасности информации. Приложения (при необходимости). Раздел «Общие положения» содержит назначение и область действия до- кумента, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информа- цию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники). Раздел «Описание информационной системы и особенностей ее функцио- нирования» содержит общую характеристику информационной системы, описа- ние структурно-функциональных характеристик информационной системы, опи- сание взаимосвязей между сегментами информационной системы, описание вза- имосвязей с другими информационными системами и информационно- телекоммуникационными сетями, описание технологии обработки информации. Также в данном разделе приводятся предположения, касающиеся информацион- ной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования. Раздел «Возможности нарушителей (модель нарушителя)» содержит опи- сание типов, видов, потенциала и мотивации нарушителей, от которых необхо- димо обеспечить защиту информации в информационной системе, способов реа- 36 лизации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об от- сутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсут- ствии) сговора между внешними и внутренними нарушителями или иные пред- положения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной си- стемы или администраторов безопасности из числа потенциальных нарушителей или иные предположения). Раздел «Актуальные угрозы безопасности информации» содержит описа- ние актуальных угроз безопасности, включающее наименование угрозы безопас- ности информации, возможности нарушителя по реализации угрозы, используе- мые уязвимости информационной системы, описание способов реализации угро- зы безопасности информации, объекты воздействия, возможные результат и по- следствия от реализации угрозы безопасности информации. 37 Приложение № 3 к Методике определения угроз безопасности информации в информационных системах Определение потенциала нарушителя, необходимого для реализации угрозы без- опасности информации в информационной системе Настоящее приложение применяется для определения потенциала, необхо- димого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследова- ний. Приведенный подход к оценке потенциала нарушителя направлен на сни- жение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информа- ции в информационной системе с заданными структурно-функциональными ха- рактеристиками и особенностями функционирования. Исходными данными для определения потенциала нарушителя являются: данные об аппаратном, общесистемном и прикладном программном обес- печении, применяемых информационных технологиях, особенностях функцио- нирования информационной системы; данные об уязвимостях в аппаратном, общесистемном и прикладном про- граммном обеспечении, опубликованные в различных базах данных уязвимо- стей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций. При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непо- средственно реализацию угрозы безопасности информации. При этом не един- ственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информаци- онной системе, а на этапе реализации угрозы безопасности информации – ис- пользование уязвимостей информационной системы. Таким образом, для определения потенциала нарушителя необходимо оце- нить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализа- ции угрозы безопасности информации. Потенциальные уязвимости определяются для каждого класса и типа про- граммного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нару- 38 шителю необходимо идентифицировать и использовать как минимум одну уяз- вимость на каждом узле и хосте. В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспе- чении, опубликованные в общедоступных источниках, полученные по результа- там исследований и (или) полученные от уполномоченных органов и организа- ций. Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации. Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей: время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время); техническая компетентность нарушителя; знание нарушителем проекта и информационной системы; оснащенность нарушителя; возможности нарушителя по доступу к информационной системе. Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемо- го времени. а) определение показателя «затрачиваемое время» Показатель «затрачиваемое время» характеризует время, непрерывно за- трачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации. Показатель «затрачиваемое время» может принимать значения «за мину- ты», «за часы», «за дни» или «за месяцы». Значение «за минуты» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости. Значение «за часы» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости. Значение «за дни» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости. Значение «за месяцы» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит, как минимум, месяц на идентифи- кацию и использование уязвимости. 39 б) определение показателя «техническая компетентность нарушителя» Показатель «техническая компетентность нарушителя» характеризует, ка- ким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации. Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал». Значение «профессионал» присваивается, если нарушитель имеет хоро- шую осведомленность о мерах защиты информации, применяемых в информа- ционной системе, об алгоритмах, аппаратных и программных средствах, исполь- зуемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа. Значение «специалист» присваивается, если нарушитель имеет осведом- ленность о мерах защиты информации, применяемых в информационной систе- ме данного типа. Значение «непрофессионал» присваивается, если нарушитель имеет сла- бую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации. в) определение показателя «знание нарушителем проекта и информа- ционной системы» Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее экс- плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз- вимости для реализации угрозы безопасности информации. Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или «знание чувствительной информации». Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно- функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разра- ботке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации. При этом может быть доступна информация о целях и задачах, решаемых ин- формационной системой. Данный показатель также присваивается, если сведе- ния об информационной системе отнесены к информации ограниченного досту- па и не могут быть доступны для неограниченного круга лиц. 40 Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную си- стему (в частности руководство пользователя и (или) правила эксплуатации ин- формационной системы). Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатаци- онная документация на информационную систему, информация о структурно- функциональных характеристиках информационной системы, системе защиты информационной системы. г) определение показателя «возможности нарушителя по доступу к информационной системе» Показатель «возможности нарушителя по доступу к информационной си- стеме» характеризует, как долго по времени нарушитель должен иметь возмож- ность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации. Показатель «возможности нарушителя по доступу к информационной си- стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме- сяцы». Значение «за минуты» присваивается, если для идентификации и исполь- зования уязвимости для реализации угрозы безопасности информации наруши- телю требуется доступ менее получаса. Значение «за часы» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня. Значение «за дни» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца. Значение «за месяцы» присваивается, если для идентификации и использо- вания уязвимости для реализации угрозы безопасности информации нарушите- лю требуется доступ более одного месяца. Показатель «возможности нарушителя по доступу к информационной си- стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис- пользование уязвимости при реализации угрозы безопасности информации мо- гут требовать продолжительного времени по доступу к информационной систе- ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа- ях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе. |