|
|
Шаблон_пример_Модель_угроз_безопасности_информации_по_ФСТЭК_+_ФС. Ооо Наименование организации
Возможные объекты воздействия угроз безопасности информации
В ходе оценки угроз безопасности информации определяются информационные ресурсы и компоненты ГИС «Наименование системы», несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям, определенным в разделе 4 настоящей Модели угроз, – объектов воздействия.
Объекты воздействия определялись для реальной архитектуры и условий функционирования ГИС «Наименование системы» на основе анализа исходных данных и проведенной инвентаризации.
Определение объектов воздействия производилось на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей.
В отношении каждого объекта воздействия определялись виды воздействия на него, которые могут привести к негативным последствиям. Рассматриваемые виды воздействия представлены в таблице 8.
Таблица 8 – Виды воздействия
Идентификатор
|
Вид воздействия
|
ВВ.1
|
утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
|
ВВ.2
|
несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным
|
ВВ.3
|
отказ в обслуживании компонентов (нарушение доступности)
|
ВВ.4
|
несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности)
|
ВВ.5
|
несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач
|
ВВ.6
|
нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации
|
Итоговый перечень объектов воздействия со списком возможных видов воздействия на них, реализация которых может привести к негативным последствиям, представлен в таблице 9.
Таблица 9 – Объекты воздействия и виды воздействия
Негативные последствия
|
Объекты воздействия
|
Виды воздействия
|
Разглашение персональных данных граждан
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Учетные данные пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Информационная (автоматизированная) система или ее компоненты, функционирующие в облачной системе
|
ВВ.2; ВВ.3; ВВ.4
|
Непредоставление государственных услуг
|
Информационная (автоматизированная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Нарушение неприкосновенности частной жизни
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Учетные данные пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Нарушение личной, семейной тайны, утрата чести и доброго имени
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Учетные данные пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Нарушение иных прав и свобод гражданина, закрепленных в Конституции Российской Федерации и федеральных законах
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Учетные данные пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Нарушение конфиденциальности (утечка) персональных данных
|
Машинный носитель информации в составе средств вычислительной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Прикладное программное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Веб-сайт
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Виртуальная инфраструктура (воздействие на гипервизор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Нарушение законодательства Российской Федерации (юридическое лицо, индивидуальный предприниматель)
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Информационная (автоматизированная) система или ее компоненты, функционирующие в облачной системе
|
ВВ.2; ВВ.3; ВВ.4
|
Файлы cookies
|
ВВ.1; ВВ.2; ВВ.4
|
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций
|
Информационная (автоматизированная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций)
|
Сетевое программное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Узел вычислительной сети (автоматизированные рабочие места, сервера, маршрутизаторы, коммутаторы, IoT-устройства и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Микропрограммное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Объекты файловой системы
|
ВВ.1; ВВ.2; ВВ.4
|
Система поддержания температурно-влажностного режима
|
ВВ.2; ВВ.3; ВВ.4
|
Веб-сайт
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
XML-схема, передаваемая между клиентом и сервером
|
ВВ.2; ВВ.4
|
Веб-сервер
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная инфраструктура (воздействие на гипервизор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Информационная (автоматизированная) система или ее компоненты, функционирующие в облачной системе
|
ВВ.2; ВВ.3; ВВ.4
|
Средства удаленного администрирования информационной (автоматизированной) системой или ее компонентами, функционирующими в облачной системе
|
ВВ.2; ВВ.4
|
Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций)
|
Системное программное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Машинный носитель информации в составе средств вычислительной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Средство вычислительной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Система поддержания температурно-влажностного режима
|
ВВ.2; ВВ.3; ВВ.4
|
Веб-сайт
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
XML-схема, передаваемая между клиентом и сервером
|
ВВ.2; ВВ.4
|
Веб-сервер
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная инфраструктура (воздействие на гипервизор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Информационная (автоматизированная) система или ее компоненты, функционирующие в облачной системе
|
ВВ.2; ВВ.3; ВВ.4
|
Средства удаленного администрирования информационной (автоматизированной) системой или ее компонентами, функционирующими в облачной системе
|
ВВ.2; ВВ.4
|
Принятие неправильных решений
|
Защищаемая информация
|
ВВ.1; ВВ.2; ВВ.4
|
Утечка конфиденциальной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
|
Учетные данные пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Виртуальная инфраструктура (воздействие на гипервизор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Отсутствие доступа к государственной услуге
|
BIOS/UEFI
|
ВВ.2; ВВ.3; ВВ.4
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Сетевое оборудование
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Информационная (автоматизированная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Веб-сайт
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
XML-схема, передаваемая между клиентом и сервером
|
ВВ.2; ВВ.4
|
Веб-сервер
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная инфраструктура (воздействие на гипервизор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и виртуальные устройства хранения данных, систему управления виртуальной инфраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Источники угроз безопасности информации
Антропогенные источники
В ходе оценки угроз безопасности информации определяются возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие(ая) реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты ГИС «Наименование системы», – актуальные нарушители.
Процесс определения актуальных нарушителей включал:
Формирование перечня рассматриваемых видов нарушителей и их возможных целей по реализации угроз безопасности информации и предположений об их отнесении к числу возможных нарушителей (нарушителей, подлежащих дальнейшей оценке), представленных в таблице 10.
Таблица 10 – Перечень рассматриваемых нарушителей
№
п/п
|
Вид нарушителя
|
Возможные цели реализации угроз безопасности информации
|
Предположения об отнесении к числу возможных нарушителей
|
1.
|
Специальные службы иностранных государств
|
Нанесение ущерба государству в области обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики;
Дискредитация деятельности отдельных органов государственной власти, организаций;
Получение конкурентных преимуществ на уровне государства;
Срыв заключения международных договоров;
Создание внутриполитического кризиса
|
Цели не предполагают потенциальное наличие нарушителя
|
2.
|
Террористические, экстремистские группировки
|
Совершение террористических актов, угроза жизни граждан;
Нанесение ущерба отдельным сферам деятельности или секторам экономики государства;
Дестабилизация общества;
Дестабилизация деятельности органов государственной власти, организаций
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
3.
|
Преступные группы (криминальные структуры)
|
Получение финансовой или иной материальной выгоды;
Желание самореализации (подтверждение статуса)
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
4.
|
Отдельные физические лица (хакеры)
|
Получение финансовой или иной материальной выгоды;
Любопытство или желание самореализации (подтверждение статуса)
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
5.
|
Конкурирующие организации
|
Получение финансовой или иной материальной выгоды;
Получение конкурентных преимуществ
|
Цели не предполагают потенциальное наличие нарушителя
|
6.
|
Разработчики программных, программно-аппаратных средств
|
Получение финансовой или иной материальной выгоды;
Получение конкурентных преимуществ;
Внедрение дополнительных функциональных возможностей в программные или программно-аппаратные средства на этапе разработки;
Непреднамеренные, неосторожные или неквалифицированные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
7.
|
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
|
Получение финансовой или иной материальной выгоды;
Получение конкурентных преимуществ;
Непреднамеренные, неосторожные или неквалифицированные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
8.
|
Поставщики вычислительных услуг, услуг связи
|
Получение финансовой или иной материальной выгоды;
Получение конкурентных преимуществ;
Непреднамеренные, неосторожные или неквалифицированные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
9.
|
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
|
Получение финансовой или иной материальной выгоды;
Получение конкурентных преимуществ;
Непреднамеренные, неосторожные или неквалифицированные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
10.
|
Лица, обеспечивающие функционирование систем и сетей или обеспечивающие системы оператора
|
Получение финансовой или иной материальной выгоды;
Непреднамеренные, неосторожные или неквалифицированные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
11.
|
Авторизованные пользователи систем и сетей
|
Получение финансовой или иной материальной выгоды;
Любопытство или желание самореализации (подтверждение статуса);
Непреднамеренные, неосторожные или неквалифицированные действия;
Месть за ранее совершенные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
12.
|
Системные администраторы и администраторы безопасности
|
Получение финансовой или иной материальной выгоды;
Любопытство или желание самореализации (подтверждение статуса);
Непреднамеренные, неосторожные или неквалифицированные действия;
Месть за ранее совершенные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
|
13.
|
Бывшие (уволенные) работники (пользователи)
|
Получение финансовой или иной материальной выгоды;
Месть за ранее совершенные действия
|
Возможные цели реализации угроз безопасности информации предполагают наличие нарушителя
| |
|
|
Скачать 216.5 Kb.