Главная страница

МЕТ док. Федеральная служба по техническому и экспортному контролю


Скачать 2.62 Mb.
НазваниеФедеральная служба по техническому и экспортному контролю
АнкорМЕТ док
Дата19.09.2022
Размер2.62 Mb.
Формат файлаpdf
Имя файлаmet_doc_2021.02.05.pdf
ТипДокументы
#685335
страница6 из 9
1   2   3   4   5   6   7   8   9
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
(администрация, охрана, уборщики и т.д.)
-
-
-
-
Авторизованные пользователи систем и сетей
+
(непреднамеренные, неосторожные или неквалифицированные действия)
-
-
У1
(финансовый, иной материальный ущерб физическим лицам)
Системные администраторы и администраторы безопасности
+
(месть за ранее совершенные действия)
+
(любопытство или желание самореализации)
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
У1
(финансовый, иной материальный ущерб физическим лицам)
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)

55
Окончание таблицы 7.1
Виды
нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам
риска (ущерба) и
возможным негативным
последствиям
Нанесение ущерба
физическому лицу
Нанесение ущерба
юридическому лицу,
индивидуальному
предпринимателю
Нанесение ущерба
государству в области
обеспечения обороны страны,
безопасности государства и
правопорядка, а также в
социальной, экономической,
политической, экологической
сферах деятельности
Бывшие
(уволенные) работники
(пользователи)
-
-
-
-
*
- примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6 к настоящей Методике.
**
- примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5 к настоящей Методике.

56
Приложение 8 к Методике оценки угроз безопасности информации
Уровни возможностей нарушителей
по реализации угроз безопасности информации
Таблица 8.1

Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
Н1 Нарушитель, обладающий базовыми возможностями
Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.
Имеет возможность использовать средства реализации угроз
(инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
Таким образом, нарушители с базовыми возможностями имеют
возможность
реализовывать
только
известные
угрозы,
направленные на известные (документированные) уязвимости, с
использованием общедоступных инструментов
Физическое лицо (хакер)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.)
Авторизованные пользователи систем и сетей
Бывшие работники (пользователи)
Н2 Нарушитель, обладающий базовыми повышенными возможностями
Обладает всеми возможностями нарушителей с базовыми возможностями.
Имеет возможность использовать средства реализации угроз
(инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, однако хорошо владеет этими
Преступные группы (два лица и более, действующие по единому плану)
Конкурирующие организации
Поставщики вычислительных услуг,

57
Продолжение таблицы 8.1

Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
средствами и инструментами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз.
Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей.
Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации.
Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно- аппаратных средствах.
Таким образом, нарушители с базовыми повышенными
возможностями имеют возможность реализовывать угрозы, в том
числе направленные на неизвестные (недокументированные)
уязвимости, с использованием специально созданных для этого
инструментов, свободно распространяемых в сети «Интернет». Не
имеют
возможностей
реализации
угроз
на
физически
изолированные сегменты систем и сетей услуг связи
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
Системные администраторы и администраторы безопасности
Н3 Нарушитель, обладающий средними возможностями
Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность самостоятельно разрабатывать средства
Террористические, экстремистские группировки
Разработчики программных, программно-аппаратных средств

58
Продолжение таблицы 8.1

Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
(инструменты), необходимые для реализации угроз
(атак), реализовывать угрозы с использованием данных средств.
Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа.
Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
Обладает высокими знаниями и практическими навыками о функционировании систем и сетей, операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц.
Таким образом, нарушители со средними возможностями имеют
возможность реализовывать угрозы, в том числе на выявленные ими
неизвестные
уязвимости,
с
использованием
самостоятельно
разработанных для этого инструментов. Не имеют возможностей
реализации угроз на физически изолированные сегменты систем и сетей
Н4 Нарушитель, обладающий высокими возможностями
Обладает всеми возможностями нарушителей со средними возможностями.
Имеет возможность получения доступа к исходному коду встраиваемого программного обеспечения аппаратных платформ, системного и прикладного программного обеспечения, телекоммуникационного оборудования и других программно-аппаратных средств для получения сведений об уязвимостях «нулевого дня».
Имеет возможность внедрения программных
(программно- аппаратных) закладок или уязвимостей на различных этапах поставки программного обеспечения или программно-аппаратных средств.
Специальные службы иностранных государств

59
Окончание таблицы 8.1

Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
Виды нарушителей
Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение.
Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности.
Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений.
Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации.
Обладает исключительными знаниями и практическими навыками о функционировании систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлен о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемых систем и сетей.
Таким образом, нарушители с высокими возможностями имеют
практически неограниченные возможности реализовывать угрозы,
в том числе с использованием недекларированных возможностей,
программных, программно-аппаратных закладок, встроенных в
компоненты систем и сетей

60
Приложение 9 к Методике оценки угроз безопасности информации
Примеры результата определения актуальных нарушителей при
реализации угроз безопасности информации и
соответствующие им возможности
(для государственной информационной системы)
Таблица 9.1

п/п
Виды риска (ущерба) и
возможные негативные
последствия
*
Виды
актуального
нарушителя
**
Категория
нарушителя
Уровень
возможностей
нарушителя
1
У1: нарушение конфиденциальности персональных данных граждан; нарушение личной, семейной тайны, утрата чести и доброго имени; финансовый, иной материальный ущерб физических лиц
Преступные группы
(криминальные структуры)
Внешний
Внутренний***
Н3
Отдельные физические лица
(хакеры)
Внешний
Н2
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н2
Авторизованные пользователи систем и сетей
Внутренний
Н2 2
У2: невозможность заключения договоров, соглашений; утечка коммерческой тайны; потеря клиентов; нарушение деловой репутации; недополучение ожидаемой прибыли
Преступные группы
(криминальные структуры)
Внешний
Н3
Отдельные физические лица
(хакеры)
Внутренний
Н2
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н2 3
У3: нарушение функционирования государственного органа, дискредитация деятельности органа
Специальные службы иностранных государств
Внешний
Внутренний***
Н4
Террористические, экстремистские организации
Внешний
Н3

61
Окончание таблицы 9.1

п/п
Виды риска (ущерба) и
возможные негативные
последствия
*
Виды
актуального
нарушителя
**
Категория
нарушителя
Уровень
возможностей
нарушителя
государственной власти; доступ к системам и сетям с целью незаконного использования вычислительных мощностей; утечка информации ограниченного доступа; организация митингов, забастовок из-за публикаций недостоверной информации; отсутствие доступа к социально значимым государственным услугам
Преступные группы
(криминальные структуры)
Внешний
Внутренний***
Н3
Разработчики программных, программно- аппаратных средств
Внутренний
Н3
Системные администраторы и администраторы безопасности
Внутренний
Н3
Авторизованные пользователи систем и сетей
Внутренний
Н1
Бывшие
(уволенные) работники
(пользователи)
Внутренний
Н1
*
- примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные с учетом приложений 4 и 5 к настоящей Методике.
**
- примеры видов актуальных нарушителей, определенные с учетом приложений 6 и 7 к настоящей Методике.
***
- при сговоре преступной группировки (криминальной структуры) с системными администраторами и администраторами безопасности, определенном в приложении 7 к настоящей Методике.

62
Приложение 10 к Методике оценки угроз безопасности информации
Примеры определения актуальных способов реализации угроз безопасности информации
и соответствующие им виды нарушителей и их возможности
(для государственной информационной системы)
Таблица 10.1

п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
1
Специальные службы иностранных государств (Н4)
Внешний
База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; утечка
(нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных
Веб-интерфейс удаленного администрирования базы данных информационной системы
Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования
Пользовательский веб-интерфейс доступа к базе данных информационной системы
Использование уязвимостей конфигурации системы управления базами данных
Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных: перехват
(нарушение конфиденциальности) защищаемой информации,
Канал передачи данных между сервером основного центра обработки данных и сервером резервного центра обработки данных
Установка программных закладок в телекоммуникационное оборудование

63
Продолжение таблицы 10.1

п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
системных, конфигурационных, иных служебных данных
Коммутационный контроллер для управления аварийными задвижками в нефтепроводе: нарушение функционирования
(работоспособности) средств обработки и хранения информации; модификация
(подмена) защищаемой информации, системных, конфигурационных, иных служебных данных
Удаленный канал управления коммутационным контроллером
Использование уязвимостей кода коммутационного контроллера
Съемные машинные носители информации, содержащие аутентификационную информацию
Извлечение аутентификационной информации из постоянной памяти носителя
(инвазивный метод)
2
Отдельные физические лица
(хакеры) (Н2)
Внешний
Удаленное автоматизированное рабочее место
(АРМ) пользователя: несанкционированный доступ к операционной системе АРМ пользователя; нарушение конфиденциальности информации, содержащейся на
АРМ пользователя
Доступ через локальную вычислительную сеть организации
Внедрение вредоносного программного обеспечения
Съемные машинные носители информации, подключаемые к АРМ пользователя
Использование уязвимостей конфигурации системы управления доступом к
АРМ пользователя
Веб-сайт портала государственных услуг
(сервисов): отказ в обслуживании веб-сайта портала государственных услуг
Веб-интерфейс пользователя веб-сайта государственных услуг
Использование уязвимостей кода программного обеспечения веб-сервера

64
Окончание таблицы 10.1

п/п
Вид нарушителя
Категория
нарушителя
Объект воздействия
Доступные
интерфейсы
Способы реализации
Внедрение вредоносного кода в веб-приложение
Сетевые интерфейсы коммутатора сети, где расположен веб-сервер
Использование уязвимостей конфигурации системы управления доступом к
АРМ пользователя
3
Авторизованные пользователи систем и сетей (Н1)
Внутренний
АРМ главного бухгалтера организации: модификация платежных поручений, хранящихся на
АРМ главного бухгалтера
Локальная вычислительная сеть организации
Ошибочные действия в ходе настройки
АРМ главного бухгалтера
Сервер базы данных веб-сайта портала государственных услуг
(сервисов): отказ в обслуживании отдельных компонентов или систем и сетей в целом
Веб-интерфейс системы администрирования веб-сайта портала государственных услуг
Нарушение цепочки услуг по администрированию портала государственных услуг

6 5
Приложение 11 к Методике оценки угроз безопасности информации
1   2   3   4   5   6   7   8   9


написать администратору сайта