R - разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов для записи;
A - разрешение на создание файлов на диске/создание таблиц в БД;
D - разрешение на удаление файлов/записи в БД;
Х - разрешение на запуск программ;
S - разрешение на настройку средств защиты
6 Модель угроз и актуальные УБИ
Для того, чтобы определить актуальные меры защиты ПДн, была проведена оценка актуальных УБИ. Результатом стала модель УБИ при обработке в ИСПДн.
Модель должна постоянная пересматриваться ответственными лицами с целью соответствия перечня актуальных угроз и поддержания соответствия нормативным документам, представлено в таблице 3.
Таблица 3. Актуальные угрозы и меры по противодействию
1
|
УБИ.001. Угроза автоматического распространения вредоносного кода в грид-системе
|
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
|
2
|
УБИ.002. Угроза агрегирования данных, передаваемых в грид-системе
|
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы
ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
|
3
|
УБИ.006. Угроза внедрения кода или данных
|
ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
|
4
|
УБИ.007. Угроза воздействия на программы с высокими привилегиями
|
ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.9 Ограничение числа параллельных сеансов доступа для каждой учетной записи пользователя информационной системы
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы
|
5
|
УБИ.011. Угроза деавторизации санкционированного клиента беспроводной сети
|
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе
|
6
|
УБИ.012. Угроза деструктивного изменения конфигурации/среды окружения программ
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему
|
7
|
УБИ.014. Угроза длительного удержания вычислительных ресурсов пользователями
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
ОДТ.1 Использование отказоустойчивых технических средств
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации
|
8
|
УБИ.015. Угроза доступа к защищаемым файлам с использованием обходного пути
|
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
ИАФ.5 Защита обратной связи при вводе аутентификационной информации
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.12 Поддержка и сохранение атрибутов безопасности (меток безопасности), связанных с информацией в процессе ее хранения и обработки
|
9
|
УБИ.016. Угроза доступа к локальным файлам сервера при помощи URL
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
|
10
|
УБИ.017. Угроза доступа/перехвата/изменения HTTP cookies
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
|
11
|
УБИ.019. Угроза заражения DNS-кеша
|
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ЗИС.10 Подтверждение происхождения источника информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам
|
12
|
УБИ.020. Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.1 Управление запуском (обращениями) компонентов программного обеспечения, в том числе определение запускаемых компонентов, настройка параметров запуска компонентов, контроль за запуском компонентов программного обеспечения
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
ОЦЛ.4 Обнаружение и реагирование на поступление в информационную систему незапрашиваемых электронных сообщений (писем, документов) и иной информации, не относящихся к функционированию информационной системы (защита от спама)
ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
|
13
|
УБИ.022. Угроза избыточного выделения оперативной памяти
|
ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
АВЗ.1 Реализация антивирусной защиты
ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации
|
14
|
УБИ.023. Угроза изменения компонентов системы
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
УПД.17 Обеспечение доверенной загрузки средств вычислительной техники
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы
|
15
|
УБИ.026. Угроза искажения XML-схемы
|
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов
ЗИС.22 Защита информационной системы от угроз безопасности информации, направленных на отказ в обслуживании информационной системы
|
16
|
УБИ.027. Угроза искажения вводимой и выводимой на периферийные устройства информации
|
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов
АВЗ.1 Реализация антивирусной защиты
АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов)
ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему
ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему
|
17
|
УБИ.028. Угроза использования альтернативных путей доступа к ресурсам
|
УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы
УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
|
18
|
УБИ.030. Угроза использования информации идентификации/аутентификации, заданной по умолчанию
|
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.4 Управление средствами аутентификации, в том числе хранение выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации
ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
| |
Скачать 58.38 Kb.