|
|
Разработка защищенной автоматизированной информационной системы те-стирования знаний кредитных инспекторов в коммерческом банке. Курсовая_Шевченко_БАСО-03-18. Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины)
Настоящий раздел является методикой моделирования угроз и нарушителя безопасности информации АИС тестирования знаний кредитных инспекторов в коммерческом банке (далее – АИС ТЗ), применяемая в деятельности компании ООО «ПрофБанкТест», и разработан с учетом требований законодательства Российской Федерации в области обеспечения информационной безопасности, методического документа ФСТЭК России от 05 февраля 2021 г. «Методика оценки угроз безопасности информации».
Целью моделирования угроз безопасности информации является выявление условий и факторов, вероятных инцидентов, приводящих к нарушению безопасности информации (нарушению конфиденциальности, целостности, доступности, аутентичности, достоверности) и средств ее обработки.
Оценивание угроз информационной безопасности осуществляется в целях определения угроз безопасности, реализация которых возможна и может нанести ущерб рассматриваемой системе.
Процесс моделирования угроз и нарушителя безопасности информации включается в себя несколько этапов (таблица 1.1):
определение возможных негативных последствий, в результате реализации угроз безопасности информации;
определение возможных объектов воздействия угроз;
оценку возможности реализации угроз и определение их актуальности.
Таблица 1.1 – Процесс моделирования угроз и нарушителя безопасности информации
Исходные данные
|
Этап
|
Результат
|
Требования законодательства РФ, сведения о составе, структуре и функционале АИС ТЗ, сведения о защищаемых активах
|
Определение возможных негативных последствий реализации угроз
|
Перечень негативных последствий
|
Виды рисков (ущерба)
|
Сведения о составе, структуре и функционале АИС ТЗ, сведения о доступе к объектам защиты, БДУ ФСТЭК, результаты предыдущего этапа.
|
Возможные объекты воздействия угроз
|
Наименование и назначение компонентов (инф. ресурсов) АИС ТЗ, которые являются объектами возможного воздействия угроз
|
Варианты возможного доступа (видов воздействия) нарушителей информационной безопасности к объектам АИС ТЗ
|
Особенности организации процессов проведения тестирования знаний сотрудников коммерческих банков, сведения о типах внутренних и внешних нарушителей, описание векторов компьютерных атак, содержащихся в базах данных, сведения о составе, структуре и функционале АИС ТЗ, результаты предыдущего этапа.
|
Оценка возможности реализации угроз и определение их актуальности
|
Определение источников угроз (модель нарушителя)
|
Оценка способов реализации угроз
|
Оценка актуальности угроз
|
Основными объектами защиты информационной безопасности в компании ООО «ПрофБанкТест» являются:
информационные ресурсы ограниченного доступа, составляющие персональные данные, коммерческую тайну и иные данные, которые могут быть подвержены несанкционированным воздействиям и нарушению их информационной безопасности, а также общедоступная информация, необходимая для работы ООО «ПрофБанкТест». Примером таких ресурсов может являться информация, находящаяся на серверах в виде файлов, базы данных, носители информации и прочая информация, включая логины, электронные почти и пароли пользователей;
сотрудники компании, которые являются разработчиками ПО, системными администраторами, администраторами баз данных, операторами и пользователями АИС ТЗ;
объекты информационной инфраструктуры, включающие в себя системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, каналы связи и телекоммуникации, носители информации, средства и системы защиты информации, объекты и помещения, в которым находятся средства АИС ТЗ.
программное обеспечение собственной разработки АИС ТЗ;
процессы обработки и хранения информации в информационной системе компании, технологии, регламенты и процедуры, использующиеся для сбора, систематизации, накопления, хранения и передачи информации для внутреннего и внешнего взаимодействия информационной системы компании.
Основными задачами, решаемыми в данной главе, при оценке угроз безопасности информации, являются:
определение негативных последствий от реализации угроз;
определение возможных объектов воздействия угроз;
оценка способов реализации (возникновения) угроз;
оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
оценка сценариев реализации угроз безопасности информации в системах и сетях.
В результате моделирования угроз безопасности информации формируется перечень актуальных угроз безопасности информации, реализуемых в информационной инфраструктуре компании ООО «ПрофБанкТест».
С целью построения модели угроз целесообразно (с учетом угроз Банка данных угроз безопасности информации ФСТЭК) произвести исключение неактуальных угроз для АИС ТЗ. Перечень исключенных угроз представлен в таблице 1.2.
Таблица 1.2 – Перечень исключенных угроз
УГРОЗЫ, СВЯЗАННЫЕ С ПОДКЛЮЧЕНИЕМ К СЕТИ INTERNET, ОБЛАЧНЫЕ СИСТЕМЫ
|
УБИ.003
|
Угроза анализа криптографических алгоритмов и их реализации
|
УБИ.009
|
Угроза восстановления предыдущей уязвимой версии BIOS
|
УБИ.011
|
Угроза деавторизации санкционированного клиента беспроводной сети
|
УБИ.016
|
Угроза доступа к локальным файлам сервера при помощи URL
|
УБИ.019
|
Угроза заражения DNS-кеша
|
УБИ.020
|
Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг
|
УБИ.021
|
Угроза злоупотребления доверием потребителей облачных услуг
|
УБИ.026
|
Угроза искажения XML-схемы
|
УБИ.040
|
Угроза конфликта юрисдикций различных стран
|
УБИ.043
|
Угроза нарушения доступности облачного сервера
|
УБИ.049
|
Угроза нарушения целостности данных кеша
|
УБИ.054
|
Угроза недобросовестного исполнения обязательств поставщиками облачных услуг
|
УБИ.055
|
Угроза незащищённого администрирования облачных услуг
|
УБИ.056
|
Угроза некачественного переноса инфраструктуры в облако
|
УБИ.061
|
Угроза некорректного задания структуры данных транзакции
|
УБИ.062
|
Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера
|
УБИ.064
|
Угроза некорректной реализации политики лицензирования в облаке
|
УБИ.065
|
Угроза неопределённости в распределении ответственности между ролями в облаке
|
УБИ.066
|
Угроза неопределённости ответственности за обеспечение безопасности облака
|
УБИ.070
|
Угроза непрерывной модернизации облачной инфраструктуры
|
УБИ.092
|
Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам
|
УБИ.096
|
Угроза несогласованности политик безопасности элементов облачной инфраструктуры
|
УБИ.101
|
Угроза общедоступности облачной инфраструктуры
|
УБИ.104
|
Угроза определения топологии вычислительной сети
|
УБИ.111
|
Угроза передачи данных по скрытым каналам
|
УБИ.125
|
Угроза подключения к беспроводной сети в обход процедуры аутентификации
|
УБИ.126
|
Угроза подмены беспроводного клиента или точки доступа
|
УБИ.130
|
Угроза подмены содержимого сетевых ресурсов
|
УБИ.131
|
Угроза подмены субъекта сетевого доступа
|
УБИ.133
|
Угроза получения сведений о владельце беспроводного устройства
|
УБИ.134
|
Угроза потери доверия к поставщику облачных услуг
|
УБИ.135
|
Угроза потери и утечки данных, обрабатываемых в облаке
|
УБИ.137
|
Угроза потери управления облачными ресурсами
|
УБИ.138
|
Угроза потери управления собственной инфраструктурой при переносе её в облако
|
УБИ.141
|
Угроза привязки к поставщику облачных услуг
|
УБИ.142
|
Угроза приостановки оказания облачных услуг вследствие технических сбоев
|
УБИ.151
|
Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL
|
УБИ.153
|
Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов
|
УБИ.159
|
Угроза «форсированного веб-браузинга»
|
УБИ.164
|
Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре
|
УБИ.167
|
Угроза заражения компьютера при посещении неблагонадёжных сайтов
|
УБИ.171
|
Угроза скрытного включения вычислительного устройства в состав бот-сети.
|
УБИ.172
|
Угроза распространения «почтовых червей»
|
УБИ.174
|
Угроза «фарминга»
| |
|
|
Скачать 2.54 Mb.