Методический документ методика оценки угроз безопасности информации

государственной власти, организаций
3
Преступные группы
(криминальные структуры)
Внешний
Получение финансовой или иной материальной выгоды.
Желание самореализации (подтверждение статуса)
4
Отдельные физические лица
(хакеры)
Внешний
Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса)
5
Конкурирующие организации
Внешний
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды
6
Разработчики программных,
программно-аппара тных средств
Внутренний Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки.
Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
Окончание таблицы 6.1
N
вида
Виды нарушителя
Категории нарушителя
Возможные цели реализации угроз безопасности информации
7
Лица,
обеспечивающие поставку программных,
программно-аппара тных средств,
обеспечивающих систем
Внешний
Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
8
Поставщики вычислительных услуг, услуг связи
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
9
Лица, привлекаемые для установки,
настройки,
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 42 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

испытаний,
пусконаладочных и иных видов работ неквалифицированные действия.
Получение конкурентных преимуществ
10
Лица,
обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
(администрация,
охрана, уборщики и т.д.)
Внутренний Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
11
Авторизованные пользователи систем и сетей
Внутренний Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
12
Системные администраторы и администраторы безопасности
Внутренний Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
13
Бывшие работники
(пользователи)
Внешний
Получение финансовой или иной материальной выгоды.
Месть за ранее совершенные действия
Указанные возможные цели реализации угроз безопасности информации подлежат конкретизации и могут дополняться другими целями в зависимости от особенностей области деятельности, в которой функционируют системы и сети.
При оценке возможностей нарушителей необходимо исходить из того, что для повышения уровня своих возможностей нарушители
1
вида могут вступать в сговор с нарушителями
5
,
6
,
7
,
8
,
9
,
10
,
11
,
12
видов. Нарушители
2
вида могут вступать в сговор с нарушителями
10
,
11
,
12
видов. Нарушители
3
вида могут вступать в сговор с нарушителями
10
,
11
,
12
видов. В случае принятия таких предположений цели и уровни возможностей нарушителей подлежат объединению.
Приложение 7
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 43 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

к Методике оценки угроз безопасности информации
ПРИМЕР
ОЦЕНКИ ЦЕЛЕЙ РЕАЛИЗАЦИИ НАРУШИТЕЛЯМИ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ В ЗАВИСИМОСТИ ОТ ВОЗМОЖНЫХ НЕГАТИВНЫХ
ПОСЛЕДСТВИЙ И ВИДОВ УЩЕРБА ОТ ИХ РЕАЛИЗАЦИИ
(ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ)
Таблица 7.1
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 44 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу,
индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической,
политической, экологической сферах деятельности
Специальные службы иностранных государств
-
-
+
(дискредитация или дестабилизация деятельности органа государственной власти
<*>
)
У3
<**>
(нарушение функционирования государственного органа,
дискредитация деятельности органа государственной власти)
Террористические,
экстремистские группировки
-
-
+
(дестабилизация деятельности органов государственной власти,
организаций)
У3
(отсутствие доступа к социально значимым государственным услугам)
Продолжение таблицы 7.1
Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу,
индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической,
политической, экологической сферах деятельности
КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru_Страница_45_из_84Документ_предоставленКонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 45 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Преступные группы
(криминальные структуры)
+
(получение финансовой выгоды за счет кражи и продажи персональных данных граждан)
+
(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)
+
(желание самореализоваться)
У1
(нарушение конфиденциальности персональных данных граждан)
У2
(нарушение деловой репутации)
У3
(организация митингов,
забастовок из-за публикаций недостоверной информации)
Отдельные физические лица
(хакеры)
+
(желание самореализовать ся)
+
(получение финансовой выгоды за счет кражи и коммерческой тайны)
-
У1
(нарушение личной, семейной тайны, утрата чести и доброго имени) У2
(утечка коммерческой тайны;
потеря клиентов)
Конкурирующие организации
-
-
-
-
Продолжение таблицы 7.1
Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу,
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в
КонсультантПлюс'>КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 46 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

индивидуальному предпринимателю социальной, экономической,
политической, экологической сферах деятельности
Разработчики программных,
программно-а ппаратных средств
-
+
(передача информации о юридическом лице третьим лицам)
+
(внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки при вступлении в сговор со специальными службами иностранных государств)
У2
(недополучение ожидаемой прибыли)
У3
(нарушение функционирования государственного органа,
дискредитация деятельности органа государственной власти)
Лица,
обеспечивающие поставку программных,
программно-а ппаратных средств,
обеспечивающих систем
-
-
-
-
Поставщики вычислительных услуг, услуг связи
-
-
-
-
Лица,
привлекаемые для установки,
настройки,
испытаний,
пусконаладочных
-
-
-
-
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 47 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

и иных видов работ
Продолжение таблицы 7.1
Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу,
индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической,
политической, экологической сферах деятельности
Лица,
обеспечивающие функционирова ние систем и сетей или обеспечивающие системы оператора
(администрация,
охрана, уборщики и т.д.)
-
-
-
-
Авторизованные пользователи систем и сетей
+
(непреднамерен ные,
неосторожные или неквалифициро ванные действия)
-
-
У1
(финансовый, иной материальный ущерб физическим лицам)
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 48 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Системные администраторы и администраторы безопасности
+
(месть за ранее совершенные действия)
+
(любопытство или желание самореализации)
+
(получение финансовой или иной материальной выгоды при вступлении в сговор с преступной группой)
У1
(финансовый, иной материальный ущерб физическим лицам)
У2
(невозможность заключения договоров, соглашений)
У3
(утечка информации ограниченного доступа)
Окончание таблицы 7.1
Виды нарушителей
Возможные цели реализации угроз безопасности информации
Соответствие целей видам риска (ущерба) и возможным негативным последствиям
Нанесение ущерба физическому лицу
Нанесение ущерба юридическому лицу,
индивидуальному предпринимателю
Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической,
политической, экологической сферах деятельности
Бывшие
(уволенные)
работники
(пользователи)
-
-
-
-
--------------------------------
<*> Примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные в соответствии с приложением 6
к настоящей Методике.
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 49 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

<**> Примеры сопоставления возможных целей реализации угроз безопасности информации с видами ущерба (риска) и возможными негативными последствиями о реализации угроз, определенные в соответствии с приложением 5
к настоящей
Методике.
Приложение 8
к Методике оценки угроз безопасности информации
УРОВНИ
ВОЗМОЖНОСТЕЙ НАРУШИТЕЛЕЙ ПО РЕАЛИЗАЦИИ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Таблица 8.1
N
Уровень возможностей нарушителей
Возможности нарушителей по реализации угроз безопасности информации
Виды нарушителей
Н1 Нарушитель,
обладающий базовыми возможно стями
Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости,
скрипты и инструменты.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, имеет минимальные знания механизмов их функционирования,
доставки и выполнения вредоносного программного обеспечения, эксплойтов.
Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
Физическое лицо (хакер)
Лица, обеспечивающие поставку программных,
программно-аппаратных средств,
обеспечивающих систем
Лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем
(администрация, охрана,
уборщики и т.д.)
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 50 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные
(документированные) уязвимости, с использованием общедоступных инструментов
Авторизованные пользователи систем и сетей
Бывшие работники
(пользователи)
Н2 Нарушитель,
обладающий базовыми повышенными возможно стями
Обладает всеми возможностями нарушителей с базовыми возможностями.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети "Интернет" и разработанные другими лицами, однако хорошо владеет этими
Преступные группы (два лица и более, действующие по единому плану)
Конкурирующие организации
Поставщики вычислительных услуг,
Продолжение таблицы 8.1
N
Уровень возможностей нарушителей
Возможности нарушителей по реализации угроз безопасности информации
Виды нарушителей средствами и инструментами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз.
Оснащен и владеет фреймворками и наборами средств,
инструментов для реализации угроз безопасности информации и использования уязвимостей.
Имеет навыки самостоятельного планирования и услуг связи
Лица, привлекаемые для установки, настройки, испытаний,
пусконаладочных и иных видов работ
Системные администраторы и администраторы безопасности
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 51 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

реализации сценариев угроз безопасности информации.
Обладает практическими знаниями о функционировании систем и сетей, операционных систем,
а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Таким образом, нарушители с базовыми повышенными возможностями имеют возможность реализовывать угрозы, в том числе направленные на неизвестные
(недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети "Интернет". Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей
Н3 Нарушитель,
обладающий средними возможно стями
Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз,
размещаемые на специализированных платных ресурсах
(биржах уязвимостей).
Террористические,
экстремистские группировки
Разработчики программных,
программно-аппаратных средств
Продолжение таблицы 8.1
N
Уровень возможностей нарушителей
Возможности нарушителей по реализации угроз безопасности информации
Виды нарушителей
Имеет возможность самостоятельно разрабатывать средства (инструменты), необходимые для реализации угроз (атак), реализовывать угрозы с использованием
КонсультантПлюс
надежная правовая поддержка
www.consultant.ru
Страница 52 из 84
Документ предоставлен
КонсультантПлюс
Дата сохранения: 06.04.2022
"Методический документ. Методика оценки угроз безопасности информации"
(утв. ФСТЭК России 05.02.2021)

данных средств.
Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа.
Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
Обладает высокими знаниями и практическими навыками о функционировании систем и сетей,
операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц.
Таким образом, нарушители со средними возможностями имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты систем и сетей
Н4 Нарушитель,
обладающий высокими возможно стями
Обладает всеми возможностями нарушителей со средними возможностями.
Имеет возможность получения доступа к исходному коду встраиваемого программного обеспечения аппаратных платформ, системного и прикладного программного обеспечения, телекоммуникационного оборудования и других программно-аппаратных средств для получения сведений об уязвимостях "нулевого дня".
Специальные службы иностранных государств