Методический документ методика оценки угроз безопасности информации
Скачать 1.27 Mb.
|
КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 15 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) 5.1.3. На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации определяются виды нарушителей, актуальных для систем и сетей. Основными видами нарушителей, подлежащих оценке, являются: специальные службы иностранных государств; террористические, экстремистские группировки; преступные группы (криминальные структуры); отдельные физические лица (хакеры); конкурирующие организации; разработчики программных, программно-аппаратных средств; лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем; поставщики услуг связи, вычислительных услуг; лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ; лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, уборщики и др.); авторизованные пользователи систем и сетей; системные администраторы и администраторы безопасности; бывшие (уволенные) работники (пользователи). Указанные виды нарушителей могут быть дополнены иными нарушителями с учетом особенностей области деятельности, в которой функционируют системы и сети. Для одной системы и сети актуальными могут являться нарушители нескольких видов. 5.1.4. Нарушители признаются актуальными для систем и сетей, когда возможные цели реализации ими угроз безопасности информации могут привести к определенным для систем и сетей негативным последствиям и соответствующим рискам (видам ущерба). Возможные цели реализации угроз безопасности информации нарушителями приведены в приложении 6 к настоящей Методике. Пример соответствия нарушителей, возможных целей реализации ими угроз безопасности информации и возможных негативных последствий и видов рисков (ущерба) от их реализации (возникновения) приведен в приложении 7 к настоящей Методике. 5.1.5. Нарушители имеют разные уровни компетентности, оснащенности ресурсами и КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 16 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации. В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих: базовыми возможностями по реализации угроз безопасности информации (Н1); базовыми повышенными возможностями по реализации угроз безопасности информации (Н2); средними возможностями по реализации угроз безопасности информации (Н3); высокими возможностями по реализации угроз безопасности информации (Н4). Для одной системы или сети актуальными могут являться нарушители, имеющие разные уровни возможностей. Уровни возможностей нарушителей по реализации угроз безопасности информации приведены в приложении 8 к настоящей Методике. 5.1.6. Для актуальных нарушителей должны быть определены их категории в зависимости от имеющихся прав и условий по доступу к системам и сетям, обусловленных архитектурой и условиями функционирования этих систем и сетей, а также от установленных возможностей нарушителей. При этом нарушители подразделяются на две категории ( рисунок 5 , 6 ): внешние нарушители - нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам и компонентам систем и сетей, требующим авторизации; внутренние нарушители - нарушители, имеющие права доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсам и компонентам систем и сетей. КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_17_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 17 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Рисунок 5. Внешний нарушитель при реализации угроз безопасности информации Рисунок 6. Внутренний нарушитель при реализации угроз КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 18 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) безопасности информации Внутренние нарушители первоначально могут иметь разный уровень прав доступа к информационным ресурсам и компонентам систем и сетей (например, доступ в личный кабинет на сайте, исполнение обязанностей на автоматизированном рабочем месте, администрирование систем и сетей). К внутренним нарушителям относятся пользователи, имеющие как непривилегированные (пользовательские), так и привилегированные (административные) права доступа к информационным ресурсам и компонентам систем и сетей. 5.1.7. Внешние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых. Внутренние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых или непреднамеренно (непреднамеренные угрозы безопасности информации) без использования программных, программно-аппаратных средств. Пример 4: к непреднамеренным угрозам безопасности информации могут относиться: 1) нарушение функционирования системы управления базы данных за счет ввода в поля данных информации, превышающей допустимый объем; 2) нарушение функционирования веб-ресурса за счет того, что системный <...> 5.1.8. В случае если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей), дополнительно к антропогенным источникам угроз безопасности информации в качестве актуальных могут быть определены техногенные источники (физические явления, материальные объекты). Угрозы безопасности информации, связанные с техногенными источниками, включаются в модель угроз безопасности информации по решению обладателя информации или оператора систем и сетей. Основными факторами возникновения угроз безопасности информации, связанными с техногенными источниками, могут являться: а) недостатки качества, надежности программного обеспечения, программно-аппаратных средств, обеспечивающих обработку и хранение информации, их линий связи; б) недостатки в работе обеспечивающих систем; в) недоступность сервисов (услуг), предоставляемых сторонними организациями. Возможность возникновения таких угроз определяется на основе статистики их возникновения за прошлые годы. В случае отсутствия указанной статистики возможно использование экспертной оценки. Выявление техногенных источников должно осуществляться с учетом требований и правил, установленных уполномоченными федеральными органами исполнительной власти, национальными стандартами <1>, и не входит в область действия данной Методики. -------------------------------- КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 19 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) <1> Например, такими стандартами являются: ГОСТ Р 22.0.05-2020 Безопасность в чрезвычайных ситуациях. Техногенные чрезвычайные ситуации. Термины и определения; ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем (с Поправкой). 5.1.9. По результатам определения источников угроз безопасности информации должны быть определены: а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности; б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы. При определении источников угроз безопасности информации необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей, преднамеренно реализующих угрозы безопасности информации. Кроме того, необходимо учитывать, что такие виды нарушителей как специальные службы иностранных государств и террористические, экстремистские группировки могут привлекать (входить в сговор) внутренних нарушителей, в том числе обладающих привилегированными правами доступа. В этом случае уровень возможностей актуальных нарушителей будет определяться совокупностью возможностей нарушителей, входящих в сговор. Примеры определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в приложении 9 к настоящей Методике. 5.2 Оценка способов реализации (возникновения) угроз безопасности информации 5.2.1. В ходе оценки угроз безопасности информации должны быть определены возможные способы реализации (возникновения) угроз безопасности информации, за счет использования которых актуальными нарушителями могут быть реализованы угрозы безопасности информации в системах и сетях, - актуальные способы реализации (возникновения) угроз безопасности информации. 5.2.2. Исходными данными для определения актуальных способов реализации (возникновения) угроз безопасности информации являются: а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации; КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 20 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) б) описания векторов компьютерных атак, содержащихся в базах данных и иных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.); в) документация на системы и сети (в части сведений о составе и архитектуре, о группах пользователей и их типах доступа и уровней полномочий, о внешних и внутренних интерфейсах); г) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой; д) объекты воздействия угроз безопасности информации и соответствующие им виды воздействия, определенные в соответствии с настоящей Методикой; е) виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в соответствии с настоящей Методикой. Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети. 5.2.3. На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности информации, актуальные для систем и сетей. Основными способами реализации (возникновения) угроз безопасности информации являются: 1) использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей); 2) внедрение вредоносного программного обеспечения; 3) использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств; 4) установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства; 5) формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных; 6) перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации; 7) инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации; КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 21 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) 8) нарушение безопасности при поставках программных, программно-аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию); 9) ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств. Указанные способы реализации (возникновения) угроз безопасности информации могут быть дополнены иными способами с учетом особенностей архитектуры и условий функционирования систем и сетей. Способы реализации (возникновения) угроз безопасности информации определяются применительно к объектам воздействия, определенным в соответствии с настоящей Методикой. Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности и имеются или созданы условия, при которых такая возможность может быть реализована в отношении объектов воздействия. Одна угроза безопасности информации может быть реализована несколькими способами. 5.2.4. Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия: внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью "Интернет", смежными (взаимодействующими) системами или сетями (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.); внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные); интерфейсы для пользователей (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.); интерфейсы для использования съемных машинных носителей информации и периферийного оборудования; интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов систем и сетей; возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам систем и сетей. Наличие указанных интерфейсов определяется архитектурой, составом и условиями функционирования систем и сетей, группами пользователей, их типами доступа и уровнями полномочий. В ходе анализа должны быть определены как логические, так и физические интерфейсы объектов воздействия, в том числе требующие физического доступа к ним. Интерфейсы определяются на аппаратном, системном и прикладном уровнях систем и сетей, а также для телекоммуникационного оборудования. Возможность их использования на КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 22 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) указанных уровнях определяется возможностями актуальных нарушителей. 5.2.5. На этапе создания систем и сетей определение интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, проводится на основе предполагаемой архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных о них. На этапе эксплуатации систем и сетей для определения интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, дополнительно к документации на сети и системы используются результаты инвентаризации систем и сетей, проведенной с использованием автоматизированных средств. 5.2.6. По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены: а) виды и категории нарушителей, которые имеют возможность использования актуальных способов; б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы. Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в приложении 10 к настоящей Методике. 5.3 Оценка актуальности угроз безопасности информации 5.3.1. В ходе оценки угроз безопасности информации должны быть определены возможные угрозы безопасности информации и оценена их актуальность для систем и сетей - актуальные угрозы безопасности информации. 5.3.2. Исходными данными для оценки актуальности угроз безопасности информации являются: а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации; б) описания векторов компьютерных атак, содержащихся в базах данных и иных информационных источниках, опубликованных в сети "Интернет" (CAPEC, ATT&CK, OWASP, STIX, WASC и др.); в) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой; г) объекты воздействия угроз безопасности информации и виды воздействий на них, определенные в соответствии с настоящей Методикой; 1>1> |