Продолжение таблицы 1.5
№ п/п
|
Назначение объекта
|
Вид/категория нарушителя/возможности нарушителя
|
Виды воздействия/негативные последствия/виды риска
|
Соотнесение с угрозами
|
Цели реализации угроз
|
Описание способов реализации угроз/описание интерфейсов объектов воздействия
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
|
|
угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах
|
платежных реквизитов, отчетности. Дискредитация работников, нарушение конфиденциальности ПДн
Виды риска:
У1: 1.9, 1.11
У2: 2.1, 2.14, 2.11, 2.15, 2.25 (расшифровка
приведена в таблице
3.2)
|
|
|
уязвимостей конфигурации системы управления базами данных/ Пользовательский веб-интерфейс доступа к базе данных информационной системы
Подкуп
сотрудника компании
|
3
|
Отдельные физические лица (хакеры)/внешний/Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации.
|
Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным (доступ к АС, доступ к БД)
Несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач
Негативные последствия: дискредитация работников, нарушение штатного режима функционирования АС управления и управляемого объекта и/или процесса.
Необходимость дополнительных (незапланированных) затрат на восстановление деятельности.
Публикация недостоверной информации на веб-ресурсах организации
Виды риска:
У1: 1.9, 1.11
У2: 2.8, 2.6, 2.12, 2.14, 2.25, 2.22, 2.24, 2.23 (расшифровка приведена в таблице 3.2)
|
Возможно, при реализации угроз УБИ006, 008, 034, 041, 083, 084, 100, 152, 178, 191, 140
|
Получение финансовой или иной материальной выгоды. Желание самореализации (подтверждение статуса)
|
Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения.
Съемные машинные носители информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя.
Веб-интерфейс пользователя веб-сайтаИСПДн/ Использование уязвимостей кода программного обеспечения веб-сервера.
Использование социальной инженерии для НСД к ИСПДн.
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Сетевые интерфейсы коммутатора сети, где расположен веб-сервер
|
4
|
Конкурирующие организации/внешние/ Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их
|
Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Нарушение функционирования
|
Возможно, при реализации угроз УБИ 030, 036, 042, 073, 080, 122, 139,
|
Получение конкурентных преимуществ.
Получение финансовой или иной материальной
|
Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения.
Съемные машинные носители
|
Продолжение таблицы 1.5
№ п/п
|
Назначение объекта
|
Вид/категория нарушителя/возможности нарушителя
|
Виды воздействия/негативные последствия/виды риска
|
Соотнесение с угрозами
|
Цели реализации угроз
|
Описание способов реализации угроз/описание интерфейсов объектов воздействия
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
|
|
функционирование для повышения эффективности реализации угроз. Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями о функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
|
(работоспособности) программно-аппаратных средств обработки, передачи и хранения информации
Негативные последствия: дискредитация или переманивание работников, Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг.
Потеря конкурентного
преимущества
Виды риска:
У1: 1.9, 1.11
У2: 2.3, 2.5, 2.9, 2.10, 2.12, 2.14, 2.18, 2.11 (расшифровка приведена в таблице 3.2)
|
187, 190, 215, 140
|
выгоды.
Переманивание сотрудников
|
информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя.
Веб-интерфейс пользователя веб-сайтаИСПДн/ Использование уязвимостей кода программного обеспечения веб-сервера.
Использование социальной инженерии для НСД к ИСПДн.
Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя/ Сетевые интерфейсы коммутатора сети, где расположен веб-сервер.
|
5
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора/внутренний/Обладает базовыми компьютерными знаниями на уровне пользователя.
Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
Вид воздействия: утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности)
Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн
Виды риска:
У1: 1.9, 1.11
У2: 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17 (расшифровка приведена в таблице 3.2)
|
Возможно при реализации угроз УБИ 023, 030, 078, 084, 090, 100, 152, 178, 088, 140
|
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
|
Доступ через локальную вычислительную сеть организации/ Внедрение вредоносного программного обеспечения Съемные машинные носители информации, подключаемые к АРМ пользователя/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя Технические средства обработки и хранения информации/ непреднамеренно е физическое воздействие в результате неосторожных или неквалифицированных действий
|
6
|
Авторизованные пользователи систем и сетей/внутренний/ Обладает базовыми компьютерными знаниями на уровне пользователя. Имеет возможность использовать только известные уязвимости, скрипты и инструменты, а также средства реализации угроз, свободно распространяемые в
|
Вид воздействия: утечка (перехват, кража) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Нарушение функционирования (работоспособности)
|
Возможно, при реализации угроз УБИ 012, 023, 030, 034, 078, 084, 090, 100, 178,
|
Получение финансовой или иной материальной выгоды.
Любопытство или желание
|
Локальная вычислительная сеть организации/Ошибочные действия в ходе настройки АРМ главного бухгалтера
Веб-интерфейс системы администрирования веб-сайта
|
Продолжение таблицы 1.5
№ п/п
|
Назначение объекта
|
Вид/категория нарушителя/возможности нарушителя
|
Виды воздействия/негативные последствия/виды риска
|
Соотнесение с угрозами
|
Цели реализации угроз
|
Описание способов реализации угроз/описание интерфейсов объектов воздействия
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
|
|
сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов. Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации
|
программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности) несанкционированная модификация, подмена, искажение защищаемых данных (нарушение целостности)
Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн, случайная модификация или удаление данных
Виды риска:
У1: 1.9, 1.11
У2: 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17, 2.20 (расшифровка приведена в таблице 3.2)
|
192, 191, 088
|
самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
|
компании/нарушение администрирования веб-сайта компании
Технические средства обработки и хранения информации/ непреднамеренно е физическое воздействие в результате неосторожных или неквалифицированных действий,
Утеря аутентификационных данных или машинных носителей
|
7
|
Системные администраторы и администраторы безопасности/внутренний/ Имеет возможность использовать средства реализации угроз, свободно распространяемые в сети «Интернет» и разработанные другими лицами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз. Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей. Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации. Обладает практическими знаниями функционировании систем и сетей, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
|
Вид воздействия: утечка (перехват, кража) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
Нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации отказ в обслуживании компонентов (нарушение доступности) несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности) Отказ в обслуживании компонентов (нарушение доступности)
Негативные последствия: выведение из строя средств обработки и хранения информации, кража (утечка) ПДн, случайная модификация или удаление данных, отказ в обслуживании компонентов ИСПДн
|
Возможно, при реализации угроз УБИ 010, 063, 068, 073, 080, 122, 187, 188, 212, 217
|
Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса). Месть за ранее совершенные действия. Непреднамеренные, неосторожные или неквалифицированные действия
|
Локальная вычислительная сеть организации/ Ошибочные действия в ходе настройки АРМ, серверов, средств защиты информации Сетевые интерфейсы коммутатора сети, где расположен веб-сервер/ Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя Веб-интерфейс системы администрирования веб-сайта компании/нарушение администрирования веб-сайта компании Пользовательский веб-интерфейс доступа к базе данных информационной системы/ Использование уязвимостей конфигурации системы управления базами данных Съемные машинные носители информации, содержащие аутентификационную информацию Извлечение аутентификационной информации из
|
Окончание таблицы 1.5
№ п/п
|
Назначение объекта
|
Вид/категория нарушителя/возможности нарушителя
|
Виды воздействия/негативные последствия/виды риска
|
Соотнесение с угрозами
|
Цели реализации угроз
|
Описание способов реализации угроз/описание интерфейсов объектов воздействия
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
|
|
|
Виды риска:
У1: 1.9, 1.11
У2: 2.5, 2.6, 2.8, 2.11, 2.14, 2.21, 2.9, 2.18, 2.17, 2.20, 2.15 (расшифровка приведена в таблице 3.2)
|
|
|
постоянной памяти носителя
|
Актуальные угрозы безопасности информации
Рассмотренные угрозы из БДУ ФСТЭК приведены в таблице 1.6. Всего будет рассмотрено две угрозы:
УБИ.008 Угроза восстановления и/или повторного использования аутентификационной информации;
УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании».
Таблица 1.6 – Актуальные угрозы ИБ
Перечень возможных (вероятных) угроз безопасности информации
|
Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации
|
Нарушитель,
способный на реализацию угрозы
|
Необходимый набор средств/мер для нейтрализации угрозы/нарушителя
|
Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя
|
Вывод об актуальности угрозы
|
УБИ.008 Угроза восстановления и/или повторного использования аутентификационной информации
|
Т1 Сбор информации о системах, сетях и пользователях
Т1.1. Сбор информации из публичных источников Т1.2. Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений
Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей
Т1.4. Сбор информации путем поиска и эксплуатации уязвимостей подключенных к АС устройств
Т1.5. Сбор информации путем
|
Преступные группы (вид 3)
Отдельные физические лица – хакеры (вид 4)
Разработчики программных, программно-аппаратных средств (вид 5)
Поставщики вычислительных услуг, услуг связи (вид 6)
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем (вид 7)
Поставщики вычислительных услуг, услуг связи (вид 8)
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ (вид 9) Обоснование:
|
1.Использование специализированных программ, закрывающих порты на операционной системе (в совокупности с утвержденным Положением о системе разграничения доступа или соответствующего раздела в Политике ИБ).
2.Использование эффективной, устойчивой парольной политики в организации (в совокупности с утвержденной в виде ОРД – Парольной политикой или соответствующим разделом в Политике
|
В данный момент в ООО «ПрофБанкТест» имеется сертифицированное ФСТЭК системное, антивирусное и прикладное ПО, а также межсетевой экран Dionis DPS. Парольная политика отсутствует.
Таким образом, можно сделать вывод что угроза актуальна, так как на объекте отсутствует необходимый набор средств для нейтрализации как угрозы, так и нарушителя и сценариев, по которым он может реализовать угрозу
|
Актуальна
|
Продолжение таблицы 1.6
Перечень возможных (вероятных) угроз безопасности информации
|
Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации
|
Нарушитель,
способный на реализацию угрозы
|
Необходимый набор средств/мер для нейтрализации угрозы/нарушителя
|
Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя
|
Вывод об актуальности угрозы
|
|
перебора
Т1.6. Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей
Т1.7. Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга
Т1.8. Сбор личной идентификационной информации пользователей
Т2 Получение доступа к компонентам систем и сетей
Т2.1. Эксплуатация уязвимостей общедоступных компонентов систем и сетей с целью получения непосредственного доступа или внедрения средств получения аутентификационной информации
Т2.2. Использование методов социальной инженерии
Т2.3. Несанкционированно е подключение внешних устройств
Т2.4. Использование доступа к системам и сетям, предоставленного сторонним организациям.
Т2.5. Использование доверенного доступа третьей доверенной стороны (поставщики ИТ-услуг, поставщики услуг безопасности)
Т2.6. Подбор (методами прямого перебора, словарных атак, паролей производителей по умолчанию, рассеивания пароля, применения «радужных» таблиц) или компрометация легитимных учетных данных
Т2.7. Использование программных, программно-аппаратных закладок
Т2.8. Дарение носителей информации (например, флэш), содержащих вредоносное программное обеспечение
Т3. Внедрение и исполнение вредоносного ПО в системах и сетях
Т3.1. Запуск исполняемых скриптов и файлов
Т3.2. Перенос вредоносного кода через общие области памяти
|
Вид 1 – специальные службы иностранных государств и вид 2 – террористические и экстремистские группировки не рассматриваем, так как считаем, что данный нарушитель не заинтересован в информации, обрабатываемой на объекте ввиду ее низкой ценности именно для данных видов нарушителей.
Вид 11 - авторизованные пользователи систем и сетей и вид 12 - системные администраторы и администраторы безопасности не рассматриваем, так как считаем данному нарушителю целесообразнее и быстрее использовать возможности внутренних сервисов.
|
ИБ).
3. Использование для внутренней проверки устойчивости системы программ для подбора паролей (проведение тестов на проникновение).
4. Использование сертифицированны х систем обнаружения вторжений.
5. Использование сертифицированного системного и прикладного ПО.
6. Использование сертифицированных сканеров уязвимостей
7. Использование сертифицированного антивирусного ПО
8. Утверждение инструкции пользователя (включающей описание методов социальной инженерии.)
|
|
|
Продолжение таблицы 1.6
Перечень возможных (вероятных) угроз безопасности информации
|
Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации
|
Нарушитель,
способный на реализацию угрозы
|
Необходимый набор средств/мер для нейтрализации угрозы/нарушителя
|
Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя
|
Вывод об актуальности угрозы
|
|
Т3.3. Выполнение кода через различного рода загрузчики
Т3.4. Выполнение кода с помощью эксплоитов
Т3.5. Подключение и запуск кода через интерфейсы удаленного управления
Т3.6. Подмена легитимных программ и библиотек
Т3.7. Создание скрипта при помощи доступного инструментария
Т3.8. Запуск программ через планировщики и методы проксирования
Т3.9. Подмена легитимных программ и библиотек под видом удалённых обновлений с портала производителя
Т3.10. Подмена дистрибутивов (установочных комплектов) программ
Т5 Управление вредоносным ПО
Т5.1. Управление через стандартные протоколы (например, RDP, SSH)
Т5.2. Управление через съемные носители)
Т5.3. Проксирование трафика управления
Т5.4. Запасные и многоступенчатые каналы
Т5.5. Использование штатных средств удаленного доступа и управления
Т5.6. Туннелирование трафика управления в легитимные протоколы (например, DNS)
Т5.7. Управление через подключённые устройства
Т8. Получение доступа к другим компонентам (смежным) систем и сетей
Т8.1. Повышение привилегий в системе
Т8.2. Использование средств удаленного управления
Т8.3. Удаленное копирование файлов
Т8.4. Изменение конфигурации сети, сброс паролей
Т8.5. Копирование вредоносного ПО на съёмные носители
Т8.6. Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
|
|
|
|
|
УБИ.140 Угроза приведения системы в состояние «отказ в обслуживании»
|
Т1 Сбор информации о системах и сетях
Т1.1. Сбор информации из публичных источников
Т1.2. Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи
|
Преступные группы (вид 3)
Отдельные физические лица – хакеры (вид 4)
Разработчики программных, программно-аппаратных средств (вид 6)
|
1.Уменьшение зон доступных для атаки. Необходимо убедиться, что доступ к приложению или ресурсам не был открыт для портов,
|
В данный момент в ООО «ПрофБанкТест» имеется сертифицированное ФСТЭК системное, антивирусное и прикладное ПО, а также
|
Актуальна
|
Продолжение таблицы 1.6
Перечень возможных (вероятных) угроз безопасности информации
|
Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации
|
Нарушитель,
способный на реализацию угрозы
|
Необходимый набор средств/мер для нейтрализации угрозы/нарушителя
|
Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя
|
Вывод об актуальности угрозы
|
|
поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений
Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей
Т1.4. Сбор информации путем поиска и эксплуатации уязвимостей подключенных к АС устройств
Т1.5. Сбор информации путем перебора
Т1.6. Направленное сканирование
Т1.7. Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга
Т1.8. Сбор информации, предоставляемой DNS сервисами, включая DNS Hijacking
Т1.9. Сбор информации о пользователе при посещении им веб-сайта
Т2 Организация отказа в обслуживании одной или нескольких систем, компонентов системы или сети
Т2.1. Атаки уровня инфраструктуры, атаки оперативной памяти, процессорного времени и подсистемы хранения данных на сервере
Т2.2. Атаки транспортного уровня (направлена на межсетевой экрана, центральную сеть или систему распределения нагрузки)
Т2.3. Атаки уровня приложений, в целях перегрузки элементов инфраструктуры сервера приложений
Т2.4. DNS – атаки, использующие уязвимости в ПО DNS-серверов, или выводящие их из строя
Т2.5. Использование ошибок реализации сетевых протоколов (формирование IP-адреса версии 6 на основе MAC-адреса, определение доступности IP-адреса, использование функции контроля целостности PPP-интерфейса)
Т3. Внедрение и исполнение вредоносного ПО в системах и
|
Конкурирующие организации (вид 5)
Обоснование:
Вид 1 – специальные службы иностранных государств и вид 2 – террористические и экстремистские группировки не рассматриваем, так как считаем, что данный нарушитель не заинтересован в информации, обрабатываемой на объекте ввиду ее низкой ценности именно для данных видов нарушителей.
Вид 10 – Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора (администрация, охрана, уборщики и т.д.), 11 - авторизованные пользователи систем и сетей и вид 12 - системные администраторы и администраторы безопасности не рассматриваем, так как считаем данному нарушителю целесообразнее и быстрее использовать возможности внутренних сервисов.
|
протоколов или приложений, взаимодействие с которыми не предусмотрено.
2. Достаточная пропускная способность каналов связи, для обработки избыточных объемов трафика
3. Избыточный объем вычислительных ресурсов или ресурсы со специальными возможностями, такими как более производительные сетевые интерфейсы или улучшенная сетевая конфигурация, что позволяет поддерживать обработку больших объемов трафика
4. Использование брандмауэров для отражения сложных атак уровня приложений
5. Разработка стратегии защиты
6. Использование стрессового тестирования, для проверки защищенности от атак типа «отказ в обслуживании»
7. Регулярное обновление ПО сетевых служб, оборудования
8. Распределение трафика с помощью CDN
9. Использование списков контроля доступа ACL
|
межсетевой экран Dionis DPS. Парольная политика отсутствует.
Таким образом, можно сделать вывод что угроза актуальна, так как на объекте отсутствует необходимый набор средств для нейтрализации как угрозы, так и нарушителя и сценариев, по которым он может реализовать угрозу
|
|
Окончание таблицы 1.6
Перечень возможных (вероятных) угроз безопасности информации
|
Тактики, применения которых достаточно для реализации угрозы/Описание возможных сценариев реализации угроз безопасности информации
|
Нарушитель,
способный на реализацию угрозы
|
Необходимый набор средств/мер для нейтрализации угрозы/нарушителя
|
Имеющийся набор средств/мер для нейтрализации угрозы/нарушителя
|
Вывод об актуальности угрозы
|
|
сетях
Т3.1. Запуск исполняемых скриптов и файлов
Т3.2. Перенос вредоносного кода через общие области памяти
Т3.3. Выполнение кода через различного рода загрузчики
Т3.4. Выполнение кода с помощью эксплоитов
Т3.5. Подключение и запуск кода через интерфейсы удаленного управления
Т3.6. Подмена легитимных программ и библиотек
Т3.7. Создание скрипта при помощи доступного инструментария
Т3.8. Запуск программ через планировщиков и методы проксирования
Т3.9. Подмена легитимных программ и библиотек под видом удалённых обновлений с портала производителя
Т3.10. Подмена дистрибутивов (установочных комплектов) программ
|
|
|
|
|
Расчет актуальности угроз
Произведем расчет актуальности угрозы УБИ.008 – Угроза восстановления и/или повторного использования аутентификационной информации. Расчет представлен в таблицах 1.7-1.8.
Таблица 1.7 – УБИ.008 – Угроза восстановления и/или повторного использования аутентификационной информации
№
|
Вопрос
|
Оценка
частотного показателя, Chj
|
Важность, α
|
1
|
Утверждено ли Положение о системе разграничения доступа или соответствующий раздел в Политике ИБ?
|
|
0,12
|
Нет
|
0
|
Да
|
1
|
2
|
Утверждена ли в организации Парольная политика или соответствующий раздел в Политике ИБ?
|
|
0,09
|
Нет
|
0
|
Да
|
1
|
Окончание таблицы 1.7
№
|
Вопрос
|
Оценка
частотного показателя, Chj
|
Важность, α
|
3
|
Имеется ли план внутренних проверок по обеспечению защищенности ПДн в организации? Проводятся ли тесты на проникновение?
|
|
0,11
|
Нет
|
0
|
Да, план имеется
|
0,5
|
Да, имеется план, а также осуществляется тестирование на проникновение
|
1
|
4
|
Используются ли на объекте средства обнаружения вторжений и сканеры уязвимостей?
|
|
0,14
|
Нет
|
0
|
Да
|
0,5
|
Да, и все средства имеют сертификационную документацию
|
1
|
5
|
В организации используется только сертифицированное системное прикладное ПО?
|
|
0,1
|
Нет
|
0
|
Да
|
1
|
6
|
Используются ли на объекте средства межсетевого экранирования?
|
|
0,06
|
Нет
|
0
|
Да
|
0,5
|
Да, и все средства имеют сертификационную документацию
|
1
|
7
|
Производится ли ознакомление работников, осуществляющих обработку ПДн, с положениями законодательства РФ о персональных данных, в том числе документами, определяющими политику оператора в отношении обработки ПДн и обучение указанных работников?
|
|
0,16
|
Нет
|
0
|
Производится ознакомление работников с требованиями законодательства и внутренней документацией
|
0,7
|
Производится не только ознакомление работников с требованиями
законодательства и внутренней документацией, но и их обучение
|
1
|
8
|
Используется ли на объекте антивирусное ПО?
|
|
0,07
|
Нет
|
0
|
Да
|
0,5
|
Да, и все средства имеют сертификационную документацию
|
1
|
9
|
Используются ли средства физической защиты объекта?
|
|
0,05
|
Нет
|
0
|
Да
|
1
|
Таблица 1.8 – Подсчет результатов угрозы УБИ.008
Оценка частотного показателя, Chj
|
Важность, α
|
Вопрос 1 – 1
|
0,12
|
Вопрос 2 – 0
|
0,09
|
Вопрос 3 – 0
|
0,11
|
Вопрос 4 – 1
|
0,14
|
Вопрос 5 – 1
|
0,1
|
Вопрос 6 – 1
|
0,06
|
Вопрос 7 – 0,5
|
0,16
|
Вопрос 8 – 1
|
0,07
|
Вопрос 9 – 0
|
0,05
|
GP = 1×0,12+0×0,9+0×0,11+1×0,14+1×0,1+1×0,06+0,5×0,16+1×0,07+0×0,05=0,57
|
Значение GP = 0,57 попадает в диапазон 0,3–0,59 — степень защищенности информации средняя, оценка соответствия требования защиты – средняя, реализации угрозы средняя, необходима установка средств защиты в соответствии с выявленными недостатками – угроза актуальна.
Аналогичным образом рассчитаем актуальность угрозы УБИ.140 – Угроза приведения системы в состояние «отказ в обслуживании». Расчет представлен в таблицах 1.9-1.10.
Таблица 1.9 – УБИ.140 – Угроза приведения системы в состояние «отказ в обслуживании»
№
|
Вопрос
|
Оценка
частотного показателя, Chj
|
Важность, α
|
1
|
Утверждено ли Положение об отражении атак типа «отказ в обслуживании» или соответствующий раздел в Политике ИБ?
|
|
0,12
|
Нет
|
0
|
Да
|
1
|
2
|
Обладают ли избыточной пропускной способностью каналы связи?
|
|
0,09
|
Нет
|
0
|
Да
|
1
|
3
|
Имеется ли план внутренних проверок по обеспечению защищенности системы от DDOS-атак? Проводятся ли тесты на стресс тестирование систем и сетей?
|
|
0,11
|
Нет
|
0
|
Да, план имеется
|
0,5
|
Да, имеется план, а также осуществляется стресс-тестирование
|
1
|
4
|
Используются ли на объекте средства обнаружения вторжений и сканеры уязвимостей?
|
|
0,14
|
Нет
|
0
|
Да
|
0,5
|
Да, и все средства имеют сертификационную документацию
|
1
|
5
|
В организации используется только сертифицированное системное прикладное ПО?
|
|
0,1
|
Нет
|
0
|
Да
|
1
|
6
|
Используются ли на объекте средства межсетевого экранирования?
|
|
0,06
|
Нет
|
0
|
Да
|
0,5
|
Да, и все средства имеют сертификационную документацию
|
1
|
7
|
Ведется ли контроль версий ПО и сетевых служб? Регулярно ли обновляется ПО и оборудование?
|
|
0,11
|
Нет
|
0
|
ПО обновляется, но редко, отсутствует контроль версий
|
0,5
|
Производится регулярное обновление ПО, а также ведется контролирование версий ПО
|
1
|
8
|
Используется ли на объекте антивирусное ПО?
|
|
0,07
|
Нет
|
0
|
Да
|
0,5
|
Окончание таблицы 1.9
№
|
Вопрос
|
Оценка
частотного показателя, Chj
|
Важность, α
|
|
Да, и все средства имеют сертификационную документацию
|
1
|
|
9
|
Используется ли распределение трафика с помощью CDN?
|
|
0,05
|
Нет
|
0
|
Да
|
1
|
10
|
Проводится ли очищение кэша DNS и ведение списков контроля доступа ACL?
|
|
0,05
|
Да
|
0
|
Нет
|
1
|
Таблица 1.10 – Подсчет результатов угрозы УБИ.140
Оценка частотного показателя, Chj
|
Важность, α
|
Вопрос 1 – 1
|
0,12
|
Вопрос 2 – 0
|
0,09
|
Вопрос 3 – 0,5
|
0,11
|
Вопрос 4 – 1
|
0,14
|
Вопрос 5 – 1
|
0,1
|
Вопрос 6 – 1
|
0,06
|
Вопрос 7 – 0,5
|
0,11
|
Вопрос 8 – 1
|
0,07
|
Вопрос 9 – 0
|
0,05
|
Вопрос 10 – 0
|
0,05
|
GP=1×0,12+0×0,09+0,5×0,11+1×0,14+1×0,1+1×0,06+0,5×0,11+1×0,07+0×0,05+0×0,05=0,6
|
Значение GP = 0,6 попадает в диапазон 0,6–0,79 — степень защищенности информации высокая, оценка соответствия требования защиты – высокая, реализации угрозы низкая, необходима установка средств защиты в соответствии с выявленными недостатками – угроза актуальна.
Таким образом, можно сделать вывод, что угроза УБИ.008 является актуальной, так как уровень защиты информации – средний, требует доработок в системе защиты информации. Уровень защиты информации от угрозы УБИ.140 является высоким, однако система защиты требует доработок, поэтому данная угроза также является актуальной для рассматриваемой ИСПДн.
|
Скачать 2.54 Mb.