Генеральный директор ооо Рэдком Розничные Услуги Д. М. Малахов
Скачать 58.38 Kb.
|
19 | УБИ.031. Угроза использования механизмов авторизации для повышения привилегий | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации |
20 | УБИ.032. Угроза использования поддельных цифровых подписей BIOS | ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов АВЗ.1 Реализация антивирусной защиты АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
21 | УБИ.033. Угроза использования слабостей кодирования входных данных | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОЦЛ.5 Контроль содержания информации, передаваемой из информационной системы (контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов), и исключение неправомерной передачи информации из информационной системы ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях |
22 | УБИ.034. Угроза использования слабостей протоколов сетевого/локального обмена данными | СОВ.1 Обнаружение вторжений АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов |
23 | УБИ.037. Угроза исследования приложения через отчёты об ошибках | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения |
24 | УБИ.038. Угроза исчерпания вычислительных ресурсов хранилища больших данных | ОДТ.7 Контроль состояния и качества предоставления уполномоченным лицом вычислительных ресурсов (мощностей), в том числе по передаче информации ЗИС.25 Использование в информационной системе или ее сегментах различных типов общесистемного, прикладного и специального программного обеспечения (создание гетерогенной среды) ЗИС.29 Перевод информационной системы или ее устройств (компонентов) в заранее определенную конфигурацию, обеспечивающую защиту информации, в случае возникновении отказов (сбоев) в системе защиты информации информационной системы |
25 | УБИ.039. Угроза исчерпания запаса ключей, необходимых для обновления BIOS | ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации |
26 | УБИ.041. Угроза межсайтового скриптинга | УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов АВЗ.1 Реализация антивирусной защиты АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
27 | УБИ.044. Угроза нарушения изоляции пользовательских данных внутри виртуальной машины | АВЗ.1 Реализация антивирусной защиты АВЗ.2 Обновление базы данных признаков вредоносных компьютерных программ (вирусов) ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.9 Реализация и управление антивирусной защитой в виртуальной инфраструктуре |
28 | УБИ.046. Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия | ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры ЗИС.11 Обеспечение подлинности сетевых соединений (сеансов взаимодействия), в том числе для защиты от подмены сетевых устройств и сервисов |
29 | УБИ.047. Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке | ЗИС.2 Предотвращение задержки или прерывания выполнения процессов с высоким приоритетом со стороны процессов с низким приоритетом ЗИС.19 Изоляция процессов (выполнение программ) в выделенной области памяти |
30 | УБИ.048. Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры ЗСВ.5 Доверенная загрузка серверов виртуализации, виртуальной машины (контейнера), серверов управления виртуализацией ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций |
31 | УБИ.049. Угроза нарушения целостности данных кеша | ОПС.4 Управление временными файлами, в том числе запрет, разрешение, перенаправление записи, удаление временных файлов ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации ОЦЛ.3 Обеспечение возможности восстановления программного обеспечения, включая программное обеспечение средств защиты информации, при возникновении нештатных ситуаций |
32 | УБИ.050. Угроза неверного определения формата входных данных, поступающих в хранилище больших данных | ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему |
33 | УБИ.053. Угроза невозможности управления правами пользователей BIOS | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы УПД.11 Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации УПД.17 Обеспечение доверенной загрузки средств вычислительной техники ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
34 | УБИ.055. Угроза незащищённого администрирования облачных услуг | УПД.13 Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационнотелекоммуникационные сети ЗСВ.2 Управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин |
35 | УБИ.057. Угроза неконтролируемого копирования данных внутри хранилища больших данных | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы АВЗ.1 Реализация антивирусной защиты |
36 | УБИ.060. Угроза неконтролируемого уничтожения информации хранилищем больших данных | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗИС.1 Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы |
37 | УБИ.061. Угроза некорректного задания структуры данных транзакции | ОЦЛ.2 Контроль целостности информации, содержащейся в базах данных информационной системы ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
38 | УБИ.062. Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера | ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации ЗИС.15 Защита архивных файлов, параметров настройки средств защиты информации и программного обеспечения и иных данных, не подлежащих изменению в процессе обработки информации |
39 | УБИ.063. Угроза некорректного использования функционала программного обеспечения | УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ОЦЛ.6 Ограничение прав пользователей по вводу информации в информационную систему ОЦЛ.7 Контроль точности, полноты и правильности данных, вводимых в информационную систему ОЦЛ.8 Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены |
40 | УБИ.067. Угроза неправомерного ознакомления с защищаемой информацией | УПД.4 Разделение обязанностей полномочий (ролей), администраторов и лиц, обеспечивающих функционирование информационной системы УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования |