МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки

Название	Учебный пример для самостоятельной подготовки
Анкор	МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Дата	28.06.2022
Размер	122.98 Kb.
Формат файла
Имя файла	2. Учебный пример МУ ИСПДн ИМОИБ.docx
Тип	Документы #618251
страница	10 из 12

1 ... 4 5 6 7 8 9 10 11 12

Определение возможных сценариев реализации угроз безопасности информации

Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.

Сценарии реализации угроз безопасности информации определяются для соответствующих способов реализации угроз безопасности информации, определенных в Главе 6 настоящей Модели угроз, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

Актуальные для ИСПДн «Название ИСПДн» нарушители и их условные обозначения представлены в Таблице №10.
Таблица №10

№ п/п	Наименование	Условное обозначение
	Отдельные физические лица (хакеры)	Н1
	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем	Н2
	Бывшие (уволенные) работники (пользователи)	Н3
	Авторизованные пользователи ИСПДн	Н4
	Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ	Н5
	Лица, обеспечивающие функционирование ИСПДн или обеспечивающих систем оператора (администрация, охрана, уборщики и др.)	Н6
	Системные администраторы и администраторы безопасности	Н7
	Конкурирующие организации	Н8

Все возможные способы реализации угроз безопасности информации для ИСПДн «Название ИСПДн» и их условные обозначения приведены в Таблице №11.
Таблица №11

№ п/п	Наименование	Условное обозначение
	Использование уязвимостей прикладного программного обеспечения	С1
	Использование уязвимостей системного программного обеспечения	С2
	Внедрение вредоносного программного обеспечения	С3
	Использование недекларированных возможностей программного обеспечения	С4
	Использование уязвимостей протоколов сетевого взаимодействия	С5
	Использование открытых портов сетевого взаимодействия	С6
	Использование некорректной настройки парольной политики	С7
	Физический доступ к техническим средствам ИС	С8
	Ошибочные действия при настройке	С9
	Программные сбои	С10
	Использование уязвимостей сетевого оборудования	С11

Для построения сценариев реализации угроз безопасности информации были взяты типовые тактики и соответствующие им техники, приведенные в Методике. Условные обозначения тактик и техник соответствуют таковым в Методике.

Так как при разработке Модели угроз рассматривается исходное (проектное) состояние ИСПДн без учета организационных и технических мер по защите информации, должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.

Возможные сценарии реализации угроз представлены в Таблице №12.
Таблица №12

№ п/п	Вероятные нарушители	Способ реализации угрозы	Тактика	Техники
Банк данных угроз ФСТЭК России (bdu.fstec.ru)
1	УБИ.006: Угроза внедрения кода или данных
	Н1, Н3	С1, С2, С3, С7	Т1	Т1.3, Т1.4, Т1.11
			Т2	Т2.5, Т2.7, Т2.8, Т2.10, Т2.11
			Т3	Т3.1, Т3.7, Т3.14
	Н2	С1, С2, С3, С7	Т1	Т1.3, Т1.4, Т1.11
			Т3	Т3.10
2	УБИ.008: Угроза восстановления аутентификационной информации
	Н4, Н6	С7	Т1	Т1.9, Т1.11, Т1.12
			Т2	Т2.5, Т2.10, Т2.11
	Н5, Н7	С7	Т1	Т1.9, Т1.11, Т1.12
			Т2	Т2.5, Т2.10, Т2.11
	Н1, Н2, Н3	С7	Т1	Т1.6, Т1.11
			Т2	Т2.4, Т2.10, Т2.11
3	УБИ.009: Угроза восстановления предыдущей уязвимой версии BIOS
	Н4, Н6	С8, С10	Т1	Т1.11, Т1.13
			Т2	Т2.5
			Т7	Т7.22
	Н5, Н7	С8, С10	Т1	Т1.11, Т1.13
			Т2	Т2.5
			Т7	Т7.22
…

1 ... 4 5 6 7 8 9 10 11 12