|
|
Исходник_модель_пример. Генеральный директор ао Наименование
Виды
нарушителей
|
Возможные цели реализации угроз безопасности информации
|
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
|
|
Нанесение ущерба физическому лицу
|
Нанесение ущерба юридическому лицу
|
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
|
|
Специальные службы иностранных государств
|
-
|
-
|
+
(Нанесение ущерба государству в секторе экономики*)
|
У3**
(Возникновение ущерба бюджетам Российской Федерации)
|
|
Террористические, экстремистские группировки
|
-
|
-
|
+
(Нанесение ущерба государству в секторе экономики)
|
У3
(Возникновение ущерба бюджетам Российской Федерации)
|
|
Преступные группы (криминальные структуры)
|
-
|
+
(получение финансовой выгоды за счет использования вычислительных мощностей серверов, кражи коммерческой тайны)
|
+
(желание самореализоваться)
|
У2
(нарушение деловой репутации)
|
|
Отдельные физические лица (хакеры)
|
-
|
+
(получение финансовой выгоды за счет кражи и коммерческой тайны)
|
-
|
У2
(утечка коммерческой тайны;
потеря клиентов)
|
|
Конкурирующие организации
|
-
|
-
|
-
|
-
|
|
Разработчики программных, программно-аппаратных средств
|
-
|
+
(передача информации о юридическом лице третьим лицам)
|
+
(внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств)
|
У2
(недополучение ожидаемой прибыли)
У3
(Снижение уровня дохода государственной корпорации, государственной организации или организации с государственным участием)
|
|
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
|
-
|
-
|
-
|
-
|
|
Поставщики вычислительных услуг, услуг связи
|
-
|
-
|
-
|
-
|
|
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
|
-
|
-
|
-
|
-
|
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.)
|
-
|
-
|
-
|
-
|
|
Авторизованные пользователи систем и сетей
|
|
-
|
-
|
|
|
Системные администраторы и администраторы безопасности
|
|
+
(любопытство или желание самореализации)
|
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
|
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)
|
|
Бывшие (уволенные) работники (пользователи)
|
-
|
-
|
-
|
-
|
№
|
Уровень возможностей
нарушителей
|
Возможности нарушителей по реализации угроз безопасности информации
|
Виды нарушителей
|
Н1
|
Нарушитель, обладающий базовыми возможностями
|
Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов
|
Физическое лицо (хакер)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем (администрация, охрана, уборщики и т.д.)
Авторизованные пользователи систем и сетей
Бывшие работники (пользователи)
|
Н2
|
Нарушитель, обладающий базовыми повышенными возможностями
|
Обладает всеми возможностями нарушителей с базовыми возможностями.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, однако хорошо владеет этими средствами и инструментами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз.
Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей.
Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации.
Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Таким образом, нарушители с базовыми повышенными возможностями имеют возможность реализовывать угрозы, в том числе направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети «Интернет». Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей
|
Преступные группы (два лица и более, действующие по единому плану)
Конкурирующие организации
Поставщики вычислительных услуг, услуг связи
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
Системные администраторы и администраторы безопасности
|
Н3
|
Нарушитель, обладающий средними возможностями
|
Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность самостоятельно разрабатывать средства (инструменты), необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных средств.
Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа.
Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
Обладает высокими знаниями и практическими навыками о функционировании систем и сетей, операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц.
Таким образом, нарушители со средними возможностями имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей
|
Террористические, экстремистские группировки
Разработчики программных, программно-аппаратных средств
|
Н4
|
Нарушитель, обладающий
высокими возможностями
|
Обладает всеми возможностями нарушителей со средними возможностями.
Имеет возможность получения доступа к исходному коду встраиваемого программного обеспечения аппаратных платформ, системного и прикладного программного обеспечения, телекоммуникационного оборудования и других программно-аппаратных средств для получения сведений об уязвимостях «нулевого дня».
Имеет возможность внедрения программных (программно-аппаратных) закладок или уязвимостей на различных этапах поставки программного обеспечения или программно-аппаратных средств.
Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение.
Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности.
Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений.
Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации.
Обладает исключительными знаниями и практическими навыками о функционировании систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлен о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемых систем и сетей.
Таким образом, нарушители с высокими возможностями имеют практически неограниченные возможности реализовывать угрозы, в том числе с использованием недекларированных возможностей, программных, программно-аппаратных закладок, встроенных в компоненты систем и сетей
|
Специальные службы иностранных государств
|
№
п/п
|
Виды риска (ущерба) и возможные негативные последствия*
|
Виды
актуального нарушителя**
|
Категория
нарушителя
|
Уровень возможностей
нарушителя
|
1
|
У1:
нарушение конфиденциальности персональных данных граждан;
нарушение личной, семейной тайны, утрата чести и доброго имени;
финансовый, иной материальный ущерб физических лиц
|
Преступные группы
(криминальные структуры)
|
Внешний
Внутренний***
|
Н3
|
Отдельные физические лица (хакеры)
|
Внешний
|
Н2
|
Разработчики программных, программно-аппаратных средств
|
Внутренний
|
Н3
|
Системные администраторы и администраторы безопасности
|
Внутренний
|
Н2
|
Авторизованные пользователи систем и сетей
|
Внутренний
|
Н2
|
2
|
У2:
невозможность заключения договоров, соглашений;
утечка коммерческой тайны;
потеря клиентов;
нарушение деловой репутации;
недополучение ожидаемой прибыли
|
Преступные группы
(криминальные структуры)
|
Внешний
|
Н3
|
Отдельные физические лица (хакеры)
|
Внутренний
|
Н2
|
Разработчики программных, программно-аппаратных средств
|
Внутренний
|
Н3
|
Системные администраторы и администраторы безопасности
|
Внутренний
|
Н2
|
3
|
У3:
нарушение функционирования государственного органа, дискредитация деятельности органа государственной власти;
доступ к системам и сетям с целью незаконного использования вычислительных мощностей;
утечка информации ограниченного доступа;
организация митингов, забастовок из-за публикаций недостоверной информации;
отсутствие доступа к социально значимым государственным услугам
|
Специальные службы иностранных государств
|
Внешний
Внутренний***
|
Н4
|
Террористические, экстремистские организации
|
Внешний
|
Н3
|
Преступные группы
(криминальные структуры)
|
Внешний
Внутренний***
|
Н3
|
Разработчики программных, программно-аппаратных средств
|
Внутренний
|
Н3
|
Системные администраторы и администраторы безопасности
|
Внутренний
|
Н3
|
Авторизованные пользователи систем и сетей
|
Внутренний
|
Н1
|
Бывшие (уволенные) работники (пользователи)
|
Внутренний
|
Н1
|
Рисунки, иллюстрирующие возможности нарушителей, и другие поясняющие материалы приведены в приложении.
|
|
|
Скачать 91.13 Kb.