|
|
Разработка защищенной автоматизированной информационной системы те-стирования знаний кредитных инспекторов в коммерческом банке. Курсовая_Шевченко_БАСО-03-18. Курсовая работа по дисциплине Разработка и эксплуатация защищенных автоматизированных систем (наименование дисциплины)
Продолжение таблицы 1.4
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению тактики
|
Гипотетическая
актуальность
|
10
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
|
Внутренний
|
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
|
Н1
|
Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
Т1, Т2, Т4, Т6, Т10
|
Актуален
|
11
|
Авторизованные пользователи систем и сетей
|
Внутренний
|
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия.
|
Н1
|
Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
Т1, Т2, Т4, Т6, Т10
|
Актуален
|
12
|
Системные администраторы и администраторы безопасности
|
Внутренний
|
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия
|
Н2
|
Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и
|
Т1, Т2, Т3, Т4, Т5, Т6, Т9, Т10
|
Актуален
|
Окончание таблицы 1.4
№ п/п
|
Вид
нарушителя
|
Категория возможного пользователя/нарушителя
|
Возможные цели
реализации угроз
безопасности
информации
|
Уровень возможностей нарушителя
|
Возможности
нарушителя
|
Возможные к применению тактики
|
Гипотетическая
актуальность
|
|
|
|
|
|
реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах
|
|
|
13
|
Бывшие работники (пользователи)
|
Внешний
|
Получение финансовой или иной материальной выгоды.
Месть за ранее совершенные действия
|
Н1
|
Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
Т1, Т2, Т4, Т6, Т10
|
Актуален
|
Возможные негативные последствия, объекты воздействия, источники и способы реализации угроз
С целью оптимизации подхода к определению возможных негативных последствий для объектов от реализации угроз целесообразно объединить пункты «3. Возможные негативные последствия от реализации (возникновения) угроз безопасности информации», «4. Возможные объекты воздействия угроз безопасности информации», «5. Источники угроз безопасности информации», «6. Способы реализации (возникновения) угроз безопасности информации», рассмотрев в таблице следующие пункты:
описание видов рисков (ущербов), актуальных для обладателя информации, оператора, которые могут наступить от нарушения или прекращения основных процессов (столбец 3);
описание негативных последствий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к возникновению рисков (ущерба) (столбец 3);
наименования и назначение компонентов систем и сетей, которые непосредственно участвуют в обработке и хранении защищаемой информации, или обеспечивают реализацию основных процессов обладателя информации, оператора (столбец 2);
описание видов воздействия на компоненты систем и сетей, реализация которых нарушителем может привести к негативным последствиям (столбец 3);
характеристику нарушителей, которые могут являться источниками угроз безопасности информации, и возможные цели реализации ими угроз безопасности информации (столбец 2);
категории актуальных нарушителей, которые могут являться источниками угроз безопасности информации (столбец 2);
описание возможностей нарушителей по реализации ими угроз безопасности применительно к назначению, составу и архитектуре систем и сетей (столбец 2);
описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы нарушителями разных видов и категорий (столбец 6);
описание интерфейсов объектов воздействия, доступных для использования нарушителями способов реализации угроз безопасности информации (столбец 6).
Результат объединения представлен в таблице 1.5.
Таблица 1.5 – Описание внешних и внутренних нарушителей
№ п/п
|
Назначение объекта
|
Вид/категория нарушителя/возможности нарушителя
|
Виды воздействия/негативные последствия/виды риска
|
Соотнесение с угрозами
|
Цели реализации угроз
|
Описание способов реализации угроз/описание интерфейсов объектов воздействия
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
1
|
ИСПДн «Профессионал» предназначена для обработки информации о сотрудниках компании ООО «ПрофБанкТест» и об их клиентах.
|
Разработчики программных, программно-аппаратных средств/ внутренний/ Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей). Имеет возможность самостоятельно разрабатывать средства, необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных средств. Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационном оборудованию и другим программно-аппаратным средствам для проведения их анализа. Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях. Обладает высокими знаниями и практическими навыками о функционировании систем и сетей, операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах. Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц
|
Вид воздействия: несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности)
Негативные последствия: подмена данных работников организации, платежных реквизитов, отчетности.
Виды риска: У2: 2.1, 2.4, 2.6, 2.8, 2.18 (расшифровка приведена в таблице 3.2)
|
Возможно при реализации угроз УБИ 089, 091, 152, 158, 165, 179, 187, 214
|
Непреднамеренные, неосторожные или неквалифицированные действия
|
Внедрение вредоносного программного обеспечения/ Доступ через локальную вычислительную сеть организации.
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Съемные машинные носители информации, подключаемые к АРМ пользователя
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Сетевые интерфейсы коммутатора ети, где
расположен веб-сервер
|
2
|
Преступные группы (криминальные структуры)/внешний/Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет Фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев
|
Вид воздействия: несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности)
Утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Негативные последствия: подмена или кража данных работников организации,
|
Возможно, при реализации угроз УБИ 003, 007, 016, 037, 030, 201, 190, 139, 080, 122, 143, 187, 189, 140
|
Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса)
|
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Съемные машинные носители информации, подключаемые к АРМ пользователя
Внедрение вредоносного кода в веб-приложение/ Веб-интерфейс пользователя
Использование уязвимостей кода программного обеспечения веб-сервера
Использование
| |
|
|
Скачать 2.54 Mb.