Главная страница

Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС. Ооо Наименование организации


Скачать 216.5 Kb.
НазваниеОоо Наименование организации
Дата29.01.2023
Размер216.5 Kb.
Формат файлаdocx
Имя файлаШаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС.docx
ТипДокументы
#911458
страница1 из 14
  1   2   3   4   5   6   7   8   9   ...   14

ООО «Наименование организации»







УТВЕРЖДАЮ

Руководитель

_____________

И.О. Фамилия

«____» __________ 2022 г.

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Наименование системы



















2022



Оглавление

1.Термины и определения 2

2.Общие положения 6

2.1.Введение 6

2.2.Источники разработки 6

2.3.Оцениваемые угрозы 6

2.4.Ответственность за обеспечение защиты информации (безопасности) 7

2.5.Особенности пересмотра Модели угроз 8

3.Описание систем и сетей и их характеристика как объектов защиты 9

3.1.Общее описание объекта оценки угроз 9

3.2.Состав и архитектура объекта оценки 11

4.Возможные негативные последствия от реализации (возникновения) угроз безопасности информации 15

5.Возможные объекты воздействия угроз безопасности информации 17

6.Источники угроз безопасности информации 21

6.1.Антропогенные источники 21

7.Способы реализации (возникновения) угроз безопасности информации 26

9.Актуальные угрозы безопасности информации 42

10.Оценка угроз в соответствии с методическими документами ФСБ России 46

Приложение № 1 47

Приложение № 2 50

Приложение № 3 51

Приложение № 4 54

Приложение № 5 56

Приложение № 6 60

Приложение № 7 68

Приложение № 8 105



  1. Термины и определения

Автоматизированная система (АС) – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированное рабочее место (АРМ) – программно-технический комплекс АС, предназначенный для автоматизации деятельности определенного вида.

Архитектура – совокупность основных структурно-функциональных характеристик, свойств, компонентов ГИС «Наименование системы», воплощенных в информационных ресурсах и компонентах, правилах их взаимодействия, режимах обработки информации.

Безопасность информации – состояние защищенности информации, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность информации при ее обработке в информационных системах.

Взаимодействующая (смежная) система – система или сеть, которая в рамках установленных функций имеет взаимодействие посредством сетевых интерфейсов с ГИС «Наименование системы» и не включена оператором системы или сети в границу процесса оценки угроз безопасности информации.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Возможности нарушителя – мера усилий нарушителя для реализации угрозы безопасности информации, выраженная в показателях компетентности, оснащенности ресурсами и мотивации нарушителя.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы информационной системы.

Вспомогательные технические средства и системы (ВТСС) – технические средства и системы, не предназначенные для передачи, обработки и хранения информации, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки информации или в помещениях, в которых установлены информационные системы.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Информация – данные, содержащиеся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.).

Информационная система (ИС) – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационно-телекоммуникационная сеть (ИТКС) – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

Информационные ресурсы – информация, данные, представленные в форме, предназначенной для хранения и обработки в системах и сетях.

Компонент – программное, программно-аппаратное или техническое средство, входящее в состав ГИС «Наименование системы».

Контролируемая зона – пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.

Недокументированные (недекларированные) возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ, несанкционированные действия – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Обеспечивающие системы – инженерные системы, включающие системы электроснабжения, вентиляции, охлаждения, кондиционирования, охраны и другие инженерные системы, а также средства, каналы и системы, предназначенные для оказания услуг связи, других услуг и сервисов, предоставляемых сторонними организациями, от которых зависит функционирование систем и сетей.

Обработка информации – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с информацией, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение информации.

Основные (критические) процессы (бизнес-процессы) – управленческие, организационные, технологические, производственные, финансово-экономические и иные основные процессы (бизнес-процессы), выполняемые обладателем информации, оператором в рамках реализации функций (полномочий) или осуществления основных видов деятельности, нарушение и (или) прекращение которых может привести к возникновению рисков (ущербу).

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Побочные электромагнитные излучения и наводки (ПЭМИН) – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь – лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в системе или сети и использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

Программно-аппаратное средство – устройство, состоящее из аппаратного обеспечения и функционирующего на нем программного обеспечения, участвующее в формировании, обработке, передаче или приеме информации.

Программное обеспечение – совокупность программ системы обработки информации и программных документов, необходимых для эксплуатации этих программ.

Сеть электросвязи – сеть связи, предназначенная для электросвязи (передача и прием сигналов, отображающих звуки, изображения, письменный текст, знаки или сообщения любого рода по электромагнитным системам).

Средства криптографической защиты информации (шифровальные (криптографические) средства, криптосредства, СКЗИ) – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи и (или) для защиты информации от несанкционированного доступа при ее обработке и хранении.

Средство защиты информации (СЗИ) – техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации.

Средства вычислительной техники (СВТ) – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Технический канал утечки информации (ТКЗИ) – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Угроза безопасности информации (УБИ) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Уничтожение информации – действия, в результате которых становится невозможным восстановить содержание информации в информационной системе и (или) в результате которых уничтожаются материальные носители информации.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который(ая) может быть использован(а) для реализации угроз безопасности информации.


  1. Общие положения

    1. Введение

      1. Настоящая модель угроз безопасности информации (далее – Модель угроз) содержит результаты оценки угроз безопасности информации.

      2. Оценка угроз проводится в целях определения угроз безопасности информации, реализация (возникновение) которых возможна в государственной информационной системе наименование системы (далее – ГИС «Наименование системы») (с учетом архитектуры и условий его функционирования) и может привести к нарушению безопасности обрабатываемой в ГИС «Наименование системы» информации (нарушению конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации и (или) средств ее обработки) и (или) к нарушению, прекращению функционирования ГИС «Наименование системы» - актуальных угроз безопасности информации.

      3. Функиональным заказчиком ГИС «Наименование системы» является _____________________, в соответствии с __________________ _______.

      4. Оператором ГИС «Наименование системы» назначено __________________ (далее – Оператор) в соответствии с ______________________.

      5. Настоящая модель угроз безопасности информации при её обработке в ГИС «Наименование системы» сгенерирована с применением программного комплекса АльфаДок.

    2. Источники разработки

      1. Настоящая Модель угроз сформирована в соответствии с методическими документами ФСТЭК России и ФСБ России с учетом следующих принципов:

  • в случае обеспечения безопасности информации без использования СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России;

  • в случае определения необходимости обеспечения безопасности информации с использованием СКЗИ при формировании Модели угроз используются методические документы ФСТЭК России и ФСБ России.

      1. Перечень нормативных правовых актов, методических документов и национальных стандартов, используемый для оценки угроз безопасности информации и разработки Модели угроз, представлен в Приложении № 1.

    1. Оцениваемые угрозы

      1. Модель угроз содержит результаты оценки антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей, и техногенных источников угроз. При этом в настоящей Модели угроз не рассматриваются угрозы, связанные с техническими каналами утечки информации (далее – ТКУИ), по причинам, перечисленным в таблице 1.


Таблица 1 – Обоснования исключения угроз, реализуемых за счет ТКУИ




п/п

Угрозы, связанные с техническими каналами утечки информации

Обоснование исключения

1.

Угрозы утечки акустической (речевой) информации*

Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящую специализированную аппаратуру, регистрирующую акустические (в воздухе) и виброакустические (в упругих средах) волны, а также электромагнитные (в том числе оптические) излучения и электрические сигналы, модулированные информативным акустическим сигналом, возникающие за счет преобразований в технических средствах обработки информации, ВТСС и строительных конструкциях и инженерно-технических коммуникациях под воздействием акустических волн.

Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз

2.

Угрозы утечки видовой информации*

Характеризуются наличием высококвалифицированных нарушителей, использующих специализированные оптические (оптико-электронные) средства для просмотра информации с экранов дисплеев и других средств отображения средств вычислительной техники, информационно-вычислительных комплексов, технических средств обработки графической, видео- и буквенно-цифровой информации, входящих в состав системы.

Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз

3.

Угрозы утечки информации по каналам ПЭМИН

Характеризуются наличием высококвалифицированных нарушителей, использующих дорогостоящие специализированные технические средства перехвата побочных (не связанных с прямым функциональным значением элементов системы) информативных электромагнитных полей и электрических сигналов, возникающих при обработке информации техническими средствами системы.

Характер и объем обрабатываемой в системе информации недостаточен для мотивации нарушителей к реализации таких угроз
  1   2   3   4   5   6   7   8   9   ...   14


написать администратору сайта