Методический документ методика оценки угроз безопасности информации
Скачать 1.27 Mb.
|
КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 53 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Продолжение таблицы 8.1 N Уровень возможностей нарушителей Возможности нарушителей по реализации угроз безопасности информации Виды нарушителей Имеет возможность внедрения программных (программно-аппаратных) закладок или уязвимостей на различных этапах поставки программного обеспечения или программно-аппаратных средств. Окончание таблицы 8.1 N Уровень возможностей нарушителей Возможности нарушителей по реализации угроз безопасности информации Виды нарушителей Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение. Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности. Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений. Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации. КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 54 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Обладает исключительными знаниями и практическими навыками о функционировании систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлен о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемых систем и сетей. Таким образом, нарушители с высокими возможностями имеют практически неограниченные возможности реализовывать угрозы, в том числе с использованием недекларированных возможностей, Окончание таблицы 8.1 N Уровень возможностей нарушителей Возможности нарушителей по реализации угроз безопасности информации Виды нарушителей программных, программно-аппаратных закладок, встроенных в компоненты систем и сетей КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 55 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Приложение 9 к Методике оценки угроз безопасности информации ПРИМЕРЫ РЕЗУЛЬТАТА ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ НАРУШИТЕЛЕЙ ПРИ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И СООТВЕТСТВУЮЩИЕ ИМ ВОЗМОЖНОСТИ (ДЛЯ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ) Таблица 9.1 N п/п Виды риска (ущерба) и возможные негативные последствия <*> Виды актуального нарушителя <**> Категория нарушителя Уровень возможностей нарушителя 1 У1: нарушение конфиденциальности персональных данных граждан; нарушение личной, семейной тайны, утрата чести и доброго имени; финансовый, иной материальный ущерб физических лиц Преступные группы (криминальные структуры) Внешний Н3 Внутренний <***> Отдельные физические лица (хакеры) Внешний Н2 Разработчики программных, программно-аппара тных средств Внутренний Н3 Системные администраторы и администраторы безопасности Внутренний Н2 Авторизованные пользователи систем и сетей Внутренний Н2 2 У2: невозможность заключения договоров, соглашений; утечка коммерческой тайны; Преступные группы (криминальные структуры) Внешний Н3 Отдельные физические лица Внутренний Н2 КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 56 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) потеря клиентов; нарушение деловой репутации; недополучение ожидаемой прибыли (хакеры) Разработчики программных, программно-аппара тных средств Внутренний Н3 Системные администраторы и администраторы безопасности Внутренний Н2 3 У3: нарушение функционирования государственного органа, дискредитация деятельности органа Специальные службы иностранных государств Внешний Н4 Внутренний <***> Террористические, экстремистские организации Внешний Н4 Окончание таблицы 9.1 N п/п Виды риска (ущерба) и возможные негативные последствия <*> Виды актуального нарушителя <**> Категория нарушителя Уровень возможностей нарушителя государственной власти; доступ к системам и сетям с целью незаконного использования вычислительных мощностей; утечка информации ограниченного доступа; организация митингов, забастовок из-за публикаций недостоверной информации; отсутствие доступа к социально значимым государственным услугам Преступные группы (криминальные структуры) Внешний Н3 Внутренний <***> Разработчики программных, программно-аппара тных средств Внутренний Н4 Системные администраторы и администраторы безопасности Внутренний Н3 Авторизованные пользователи систем и сетей Внутренний Н1 Бывшие (уволенные) работники (пользователи) Внутренний Н1 КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 57 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) -------------------------------- <*> Примеры возможных целей реализации угроз безопасности информации с учетом области деятельности, в которой функционируют системы и сети, определенные с учетом приложений 4 и 5 к настоящей Методике. <**> Примеры видов актуальных нарушителей, определенные с учетом приложений 6 и 7 к настоящей Методике. <***> При сговоре преступной группировки (криминальной структуры) с системными администраторами и администраторами безопасности, определенном в приложении 7 к настоящей Методике. Приложение 10 к Методике оценки угроз безопасности информации ПРИМЕРЫ ОПРЕДЕЛЕНИЯ АКТУАЛЬНЫХ СПОСОБОВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ И СООТВЕТСТВУЮЩИЕ ИМ ВИДЫ НАРУШИТЕЛЕЙ И ИХ ВОЗМОЖНОСТИ (ДЛЯ ГОСУДАРСТВЕННОЙ КонсультантПлюс_надежная_правовая_поддержка_www.consultant.ru'>ИНФОРМАЦИОННОЙ СИСТЕМЫ) Таблица 10.1 КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 58 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) N п/п Вид нарушителя Категория наруши теля Объект воздействия Доступные интерфейсы Способы реализации 1 Специальные службы иностранных государств (Н4) Внешний База данных информационной системы, содержащая идентификационную информацию граждан: несанкционированный доступ к компонентам систем или сетей, защищаемой информации, системным, конфигурационным, иным служебным данным; утечка (нарушение конфиденциальности) защищаемой информации, системных, конфигурационных, иных служебных данных Веб-интерфейс удаленного администрирования базы данных информационной системы Использование недекларированных возможностей программного обеспечения телекоммуникационного оборудования Пользовательский веб-интерфейс доступа к базе данных информационной системы Использование уязвимостей конфигурации системы управления базами данных Линия связи между сервером основного центра обработки данных и сервером резервного центра обработки данных: перехват (нарушение конфиденциальности) защищаемой информации, Канал передачи данных между сервером основного центра обработки данных и сервером резервного центра обработки данных Установка программных закладок в телекоммуникационное оборудование Продолжение таблицы 10.1 N п/п Вид нарушителя Категория наруши теля Объект воздействия Доступные интерфейсы Способы реализации КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 59 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) системных, конфигурационных, иных служебных данных Коммутационный контроллер для управления аварийными задвижками в нефтепроводе: нарушение функционирования (работоспособности) средств обработки и хранения информации; модификация (подмена) защищаемой информации, системных, конфигурационных, иных служебных данных Удаленный канал управления коммутационным контроллером Использование уязвимостей кода коммутационного контроллера Съемные машинные носители информации, содержащие аутентификационную информацию Извлечение аутентификационной информации из постоянной памяти носителя (инвазивный метод) 2 Отдельные физические лица (хакеры) (Н2) Внешний Удаленное автоматизированное рабочее место (АРМ) пользователя: несанкционированный доступ к операционной системе АРМ пользователя; нарушение конфиденциальности информации, содержащейся на АРМ пользователя Доступ через локальную вычислительную сеть организации Внедрение вредоносного программного обеспечения Съемные машинные носители информации, подключаемые к АРМ пользователя Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя Веб-сайт портала государственных услуг (сервисов): отказ в обслуживании веб-сайта портала государственных услуг Веб-интерфейс пользователя веб-сайта государственных услуг Использование уязвимостей кода программного обеспечения веб-сервера Окончание таблицы 10.1 КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 60 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) N п/п Вид нарушителя Категория наруши теля Объект воздействия Доступные интерфейсы Способы реализации Внедрение вредоносного кода в веб-приложение Сетевые интерфейсы коммутатора сети, где расположен веб-сервер Использование уязвимостей конфигурации системы управления доступом к АРМ пользователя 3 Авторизованные пользователи систем и сетей (Н1) Внутрен ний АРМ главного бухгалтера организации: модификация платежных поручений, хранящихся на АРМ главного бухгалтера Локальная вычислительная сеть организации Ошибочные действия в ходе настройки АРМ главного бухгалтера Сервер базы данных веб-сайта портала государственных услуг (сервисов): отказ в обслуживании отдельных компонентов или систем и сетей в целом Веб-интерфейс системы администрирования веб-сайта портала государственных услуг Нарушение цепочки услуг по администрированию портала государственных услуг КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 61 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Приложение 11 к Методике оценки угроз безопасности информации ПЕРЕЧЕНЬ ОСНОВНЫХ ТАКТИК И СООТВЕТСТВУЮЩИХ ИМ ТИПОВЫХ ТЕХНИК, ИСПОЛЬЗУЕМЫХ ДЛЯ ПОСТРОЕНИЯ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Таблица 11.1 N Тактика Основные техники Т1 Сбор информации о системах и сетях Т1.1. Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций Тактическая задача: нарушитель стремится получить любую техническую информацию, которая может оказаться полезной в ходе реализации угроз безопасности информации Т1.2. Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений. Пример: использование поисковой системы Shodan для получения информации об определенных моделях IP-камер видеонаблюдения с возможно уязвимыми версиями прошивок Т1.3. Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях - идентификационной информации пользователей Т1.4. Направленное сканирование при помощи специализированного программного обеспечения подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий программного обеспечения этих сервисов, а также с целью получения конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений. Пример: сканирование при помощи сканера nmap Т1.5. Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации компонентов систем и сетей, программного обеспечения КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 62 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) сервисов и приложений путем поиска и эксплуатации уязвимостей подключенных к сети устройств. Пример: эксплуатация уязвимости типа directory traversal публично доступного веб-сервера Продолжение таблицы 11.1 N Тактика Основные техники Т1.6. Сбор информации о пользователях, устройствах, приложениях, авторизуемых сервисами вычислительной сети, путем перебора. Пример: сбор информации о почтовых адресах при помощи directoryharvestattack на почтовые сервера Т1.7. Сбор информации, предоставляемой DNS сервисами, включая DNS Hijacking Т1.8. Сбор информации о пользователе при посещении им веб-сайта, в том числе с использованием уязвимостей программы браузера и надстраиваемых модулей браузера Т1.9. Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей. Пример: получение хэшей паролей из /etc/passwd или получение паролей по умолчанию путем обратного инжиниринга прошивки устройства Т1.10. Кража цифровых сертификатов, включая кражу физических токенов, либо неавторизованное выписывание новых сертификатов (возможно после компрометации инфраструктуры доменного регистратора или аккаунта администратора зоны на стороне жертвы) Т1.11. Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга Т1.12. Сбор личной идентификационной информации (идентификаторы пользователей, устройств, информация об идентификации пользователей сервисами, приложениями, средствами удаленного доступа), в том числе сбор украденных личных данных сотрудников и подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе и за ее пределами КонсультантПлюс надежная правовая поддержка www.consultant.ru Страница 63 из 84 Документ предоставлен КонсультантПлюс Дата сохранения: 06.04.2022 "Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021) Т1.13. Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения Т1.14. Сбор информации через получение контроля над личными устройствами сотрудников (смартфонами, планшетами, ноутбуками) для скрытой прослушки и видеофиксации Т1.15. Поиск и покупка баз данных идентификационной информации, скомпрометированых паролей и ключей на специализированных нелегальных площадках Продолжение таблицы 11.1 N Тактика Основные техники Т1.16. Сбор информации через получение доступа к базам данных результатов проведенных инвентаризаций, реестрам установленного оборудования и ПО, данным проведенных аудитов безопасности, в том числе через получение доступа к таким данным через компрометацию подрядчиков и партнеров Т1.17. Пассивный сбор и анализ данных телеметрии для получения информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах Т1.18. Сбор и анализ данных о прошивках устройств, количестве и подключении этих устройств, используемых промышленных протоколах для получения информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах Т1.19. Сбор и анализ специфических для отрасли или типа предприятия характеристик технологического процесса для получения информации о технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах Т1.20. Техники конкурентной разведки и промышленного шпионажа для сбора информации о технологическом |