Главная страница
Навигация по странице:

  • Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации

  • Структура модели угроз безопасности информации

  • Определение потенциала нарушителя, необходимого для реализации угрозы без- опасности информации в информационной системе

  • описание мотивации угроз фстэк. Федеральная служба по техническому и экспортному контролю (фстэк россии)


    Скачать 0.57 Mb.
    НазваниеФедеральная служба по техническому и экспортному контролю (фстэк россии)
    Дата04.06.2020
    Размер0.57 Mb.
    Формат файлаpdf
    Имя файлаописание мотивации угроз фстэк.pdf
    ТипДокументы
    #128020
    страница4 из 5
    1   2   3   4   5
    определение актуальности угрозы безопасности информации
    Решение об актуальности угрозы безопасности информации УБИ
    j
    А
    для информационной системы с заданными структурно-функциональными характе- ристиками и условиями функционирования принимается в соответствии с таб- лицей 8.
    Таблица 8
    Вероятность (воз- можность) реали- зации угрозы (Y
    j
    )
    Степень возможного ущерба (Х
    j
    )
    Низкая
    Средняя
    Высокая
    Низкая неактуальная неактуальная актуальная
    Средняя неактуальная актуальная актуальная
    Высокая актуальная актуальная актуальная

    32
    Приложение № 1 к
    Методике определения угроз безопасности информации в информационных системах
    Рекомендации по формированию
    экспертной группы и проведению экспертной оценки при
    определении угроз безопасности информации
    Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение
    (ослабление) экспертами прогнозов и предположений при определении угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в ре- зультате реализации угрозы безопасности информации. Завышение экспертами прогнозов и предположений при определении угроз может повлечь за собой не- оправданные расходы на нейтрализацию угроз, являющихся неактуальными.
    Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений человеком. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при определении угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
    Любое решение, принимаемое экспертами при определении угроз безопас- ности информации, должно исходить из правил, при которых нарушитель нахо- дится в наилучших условиях для реализации угрозы безопасности (принципа
    «гарантированности»).
    а) формирование экспертной группы
    В состав экспертной группы для определения угроз безопасности инфор- мации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или не- скольких организаций): от подразделений обладателей информации, содержащейся в информаци- онной системе; от подразделений оператора информационной системы; от подразделения по защите информации; от лиц, предоставляющих услуги по обработке информации; от разработчика информационной системы; от операторов взаимодействующих внешних информационных систем (по согласованию).
    В качестве экспертов рекомендуется привлекать специалистов, деятель- ность которых связана с обработкой информации в информационной системе, а

    33
    также специалистов, имеющие квалификацию и опыт работы в области приме- нения информационных технологий и (или) в области защиты информации.
    При привлечении в качестве экспертов специалистов от подразделений по защите информации рекомендуется привлекать лиц, имеющих высшее образова- ние или прошедших переподготовку (повышение квалификации) по направле- нию подготовки «Информационная безопасность», или имеющих не менее трех лет стажа практической работы в своей сфере деятельности.
    Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экс- пертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасно- сти информации.
    Состав экспертной группы зависит от целей и задач информационной си- стемы, но не должен быть меньше трех экспертов.
    б) проведение экспертной оценки
    При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
    Экспертную оценку рекомендуется проводить в отношении, как минимум, следующих параметров: цели реализации угроз безопасности информации (мотивация нарушите- лей); типы и виды нарушителей; уязвимости, которые могут быть использованы для реализации угроз без- опасности информации; способы реализации угроз безопасности информации; степень воздействия угрозы безопасности информации на каждое из свойств безопасности информации; последствия от реализации угроз безопасности информации; вероятность реализации угроз безопасности информации; уровень защищенности информационной системы; потенциал нарушителя, требуемый для реализации угрозы безопасности информации (в случае отсутствия потенциала в банке данных угроз безопасно- сти информации).
    Оценку параметров рекомендуется проводить опросным методом с состав- лением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да»,
    «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
    Опрос экспертов включает следующие этапы: каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу 1.1;

    34
    после оценки каждым из экспертов отбрасываются минимальные и макси- мальные значения; определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра.
    Пример таблицы результатов оценки параметров
    Таблица 1.1
    Эксперты
    Значение оцениваемого параметра (раунд 1)
    Значение оцениваемого параметра (раунд 2)
    Эксперт 1
    Эксперт 2
    Эксперт n
    Итоговое значение

    35
    Приложение № 2 к
    Методике определения угроз безопасности информации в информационных системах
    Структура модели угроз безопасности информации
    Модель угроз безопасности информации содержит следующие разделы:
    1. Общие положения.
    2. Описание информационной системы и особенностей ее функционирова- ния.
    2.1. Цель и задачи, решаемые информационной системой.
    2.2. Описание структурно-функциональных характеристик информацион- ной системы.
    2.3. Описание технологии обработки информации.
    3. Возможности нарушителей (модель нарушителя).
    3.1. Типы и виды нарушителей.
    3.2. Возможные цели и потенциал нарушителей.
    3.3. Возможные способы реализации угроз безопасности информации.
    4. Актуальные угрозы безопасности информации.
    Приложения (при необходимости).
    Раздел «Общие положения» содержит назначение и область действия до- кумента, информацию о полном наименовании информационной системы, для которой разработана модель угроз безопасности информации, а также информа- цию об использованных для разработки модели угроз безопасности информации нормативных и методических документах, национальных стандартах. В данный раздел также включается информация об используемых данных и источниках, на основе которых определяются угрозы безопасности информации (документация, исходные тексты программ, опросы персонала, журналы регистрации средств защиты, отчеты об аудите и иные источники).
    Раздел «Описание информационной системы и особенностей ее функцио- нирования» содержит общую характеристику информационной системы, описа- ние структурно-функциональных характеристик информационной системы, опи- сание взаимосвязей между сегментами информационной системы, описание вза- имосвязей с другими информационными системами и информационно- телекоммуникационными сетями, описание технологии обработки информации.
    Также в данном разделе приводятся предположения, касающиеся информацион- ной системы и особенностей ее функционирования (в частности предположения об отсутствии неучтенных беспроводных каналов доступа или динамичность выделения адресов узлам информационной системы, иные предположения). В раздел включаются любые ограничения, касающиеся информационной системы и особенностей ее функционирования.
    Раздел «Возможности нарушителей (модель нарушителя)» содержит опи- сание типов, видов, потенциала и мотивации нарушителей, от которых необхо- димо обеспечить защиту информации в информационной системе, способов реа-

    36
    лизации угроз безопасности информации. В данный раздел также включаются предположения, касающиеся нарушителей (в частности предположение об от- сутствии у нарушителя возможности доступа к оборудованию, сделанному на заказ и применяемому при реализации угрозы, предположение о наличии (отсут- ствии) сговора между внешними и внутренними нарушителями или иные пред- положения). В раздел включаются любые ограничения, касающиеся определения нарушителей (в частности исключение администраторов информационной си- стемы или администраторов безопасности из числа потенциальных нарушителей или иные предположения).
    Раздел «Актуальные угрозы безопасности информации» содержит описа- ние актуальных угроз безопасности, включающее наименование угрозы безопас- ности информации, возможности нарушителя по реализации угрозы, используе- мые уязвимости информационной системы, описание способов реализации угро- зы безопасности информации, объекты воздействия, возможные результат и по- следствия от реализации угрозы безопасности информации.

    37
    Приложение № 3 к
    Методике определения угроз безопасности информации в информационных системах
    Определение
    потенциала нарушителя, необходимого для реализации угрозы без-
    опасности информации в информационной системе
    Настоящее приложение применяется для определения потенциала, необхо- димого для реализации угрозы безопасности информации, данные по которой отсутствуют в банке данных угроз безопасности информации, и характеристики которых определяются на основе иных источников или результатов исследова- ний.
    Приведенный подход к оценке потенциала нарушителя направлен на сни- жение уровня субъективности и неопределенности при оценке потенциала нарушителя, который требуется для реализации угрозы безопасности информа- ции в информационной системе с заданными структурно-функциональными ха- рактеристиками и особенностями функционирования.
    Исходными данными для определения потенциала нарушителя являются: данные об аппаратном, общесистемном и прикладном программном обес- печении, применяемых информационных технологиях, особенностях функцио- нирования информационной системы; данные об уязвимостях в аппаратном, общесистемном и прикладном про- граммном обеспечении, опубликованные в различных базах данных уязвимо- стей, полученные в результате исследований (тестировании) или полученные от уполномоченных федеральных органов исполнительной власти и организаций.
    При оценке потенциала нарушителя необходимо исходить из того, что для успешного достижения целей реализации угроз безопасности информации, нарушителю необходимо осуществить подготовку к реализации угрозы и непо- средственно реализацию угрозы безопасности информации. При этом не един- ственным, но необходимым условием на этапе подготовки к реализации угрозы безопасности информации является идентификация уязвимостей в информаци- онной системе, а на этапе реализации угрозы безопасности информации – ис- пользование уязвимостей информационной системы.
    Таким образом, для определения потенциала нарушителя необходимо оце- нить возможности нарушителя идентифицировать уязвимости и использовать их в информационной системе в ходе подготовки к реализации и непосредственно в ходе реализации угрозы безопасности информации. Для проведения указанной оценки делается предположение о наличии уязвимостей, которые потенциально содержатся в информационной системе и могут быть использованы для реализа- ции угрозы безопасности информации.
    Потенциальные уязвимости определяются для каждого класса и типа про- граммного обеспечения и для каждого узла (хоста) информационной системы исходя из условия, что для реализации угрозы безопасности информации нару-

    38
    шителю необходимо идентифицировать и использовать как минимум одну уяз- вимость на каждом узле и хосте.
    В качестве исходных данных для определения потенциальных уязвимостей используются данные по составу информационной системы и особенностям ее функционирования, а также данные об уязвимостях в этом программном обеспе- чении, опубликованные в общедоступных источниках, полученные по результа- там исследований и (или) полученные от уполномоченных органов и организа- ций.
    Для каждой выявленной потенциальной уязвимости проводится оценка возможностей ее идентификации и использования в информационной системе нарушителем, обладающим определенными возможностями и для каждого из возможных сценариев реализации угрозы безопасности информации.
    Оценка возможностей нарушителя по идентификации и использованию уязвимости в информационной системе проводится по результатам определения следующих показателей: время, затрачиваемое нарушителем на идентификацию и использование уязвимости (затрачиваемое время); техническая компетентность нарушителя; знание нарушителем проекта и информационной системы; оснащенность нарушителя; возможности нарушителя по доступу к информационной системе.
    Во многих случаях указанные показатели являются зависимыми и могут в различной степени заменять друг друга. В частности, показатели технической компетентности или оснащенности могут заменяться показателем затрачиваемо- го времени.
    а) определение показателя «затрачиваемое время»
    Показатель «затрачиваемое время» характеризует время, непрерывно за- трачиваемое нарушителем для идентификации и использования уязвимости для реализации угрозы безопасности информации.
    Показатель «затрачиваемое время» может принимать значения «за мину- ты», «за часы», «за дни» или «за месяцы».
    Значение «за минуты» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит менее получаса на идентификацию и использование уязвимости.
    Значение «за часы» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один день на идентификацию и использование уязвимости.
    Значение «за дни» присваивается, если для реализации угрозы безопасно- сти информации нарушитель затратит менее чем один месяц на идентификацию и использование уязвимости.
    Значение «за месяцы» присваивается, если для реализации угрозы без- опасности информации нарушитель затратит, как минимум, месяц на идентифи- кацию и использование уязвимости.

    39
    б) определение показателя «техническая компетентность нарушителя»
    Показатель «техническая компетентность нарушителя» характеризует, ка- ким уровнем знаний и подготовкой в области информационных технологий и защиты информации должен обладать нарушитель, чтобы идентифицировать и использовать уязвимости для реализации угрозы безопасности информации.
    Показатель «техническая компетентность нарушителя» может принимать значения «специалист», «профессионал» или «непрофессионал».
    Значение «профессионал» присваивается, если нарушитель имеет хоро- шую осведомленность о мерах защиты информации, применяемых в информа- ционной системе, об алгоритмах, аппаратных и программных средствах, исполь- зуемых в информационной системе, а также обладает специальными знаниями о методах и средствах выявления новых уязвимостей и способах реализации угроз безопасности информации для информационных систем данного типа.
    Значение «специалист» присваивается, если нарушитель имеет осведом- ленность о мерах защиты информации, применяемых в информационной систе- ме данного типа.
    Значение «непрофессионал» присваивается, если нарушитель имеет сла- бую осведомленность (по сравнению со специалистами или профессионалами) о мерах защиты информации, применяемых в информационных системах данного типа, и не обладает специальными знаниями по реализации угроз безопасности информации.
    в) определение показателя «знание нарушителем проекта и информа-
    ционной системы»
    Показатель «знание нарушителем проекта и информационной системы» характеризует, какие сведения об информационной системе и условиях ее экс- плуатации доступны нарушителю, чтобы идентифицировать и использовать уяз- вимости для реализации угрозы безопасности информации.
    Показатель «знание нарушителем проекта и информационной системы» может принимать значения «отсутствие знаний», «ограниченные знания» или
    «знание чувствительной информации».
    Значение «отсутствие знаний» присваивается, если в результате принятия мер по защите информации нарушителю не может стать известно о структурно- функциональных характеристиках информационной системы, системе защиты информации информационной системы, а также об иной информации по разра- ботке (проектированию) и эксплуатации информационной системы, включая сведения из конструкторской, проектной и эксплуатационной документации.
    При этом может быть доступна информация о целях и задачах, решаемых ин- формационной системой. Данный показатель также присваивается, если сведе- ния об информационной системе отнесены к информации ограниченного досту- па и не могут быть доступны для неограниченного круга лиц.

    40
    Значение «ограниченные знания» присваивается, если нарушителю наряду с информацией о целях и задачах, решаемых информационной системой, может стать известна только эксплуатационная документация на информационную си- стему (в частности руководство пользователя и (или) правила эксплуатации ин- формационной системы).
    Значение «знание чувствительной информации» присваивается, если нарушителю может стать известны конструкторская (проектная) и эксплуатаци- онная документация на информационную систему, информация о структурно- функциональных характеристиках информационной системы, системе защиты информационной системы.
    г) определение показателя «возможности нарушителя по доступу к
    информационной системе»
    Показатель «возможности нарушителя по доступу к информационной си- стеме» характеризует, как долго по времени нарушитель должен иметь возмож- ность доступа к информационной системе для идентификации и использования уязвимостей для реализации угроз безопасности информации.
    Показатель «возможности нарушителя по доступу к информационной си- стеме» может принимать значения «за минуты», «за часы», «за дни» или «за ме- сяцы».
    Значение «за минуты» присваивается, если для идентификации и исполь- зования уязвимости для реализации угрозы безопасности информации наруши- телю требуется доступ менее получаса.
    Значение «за часы» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного дня.
    Значение «за дни» присваивается, если для идентификации и использова- ния уязвимости для реализации угрозы безопасности информации нарушителю требуется доступ менее одного месяца.
    Значение «за месяцы» присваивается, если для идентификации и использо- вания уязвимости для реализации угрозы безопасности информации нарушите- лю требуется доступ более одного месяца.
    Показатель «возможности нарушителя по доступу к информационной си- стеме» взаимосвязан с показателем «затраченное время». Идентификация и ис- пользование уязвимости при реализации угрозы безопасности информации мо- гут требовать продолжительного времени по доступу к информационной систе- ме, что увеличивает возможность обнаружения уязвимости. В отдельных случа- ях продолжительный доступ к информационной системе не требуется (методы и средства реализации угроз безопасности разрабатываются автономно), но при этом требуется кратковременный доступ к информационной системе.

    41
    1   2   3   4   5


    написать администратору сайта