|
МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки
В ходе оценки угроз безопасности информации должны быть определены возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты ИСПДн, – актуальные нарушители.
Исходными данными для определения возможных актуальных нарушителей являются:
общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. №1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации; нормативные правовые акты Российской Федерации, в соответствии с которыми создается и функционирует ИСПДн, содержащие описание назначения, задач (функций) ИСПДн, состав обрабатываемой информации и ее правовой режим; документация на ИСПДн (в части сведений о назначении и функциях, составе и архитектуре ИСПДн, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах); договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в части персонала поставщика услуг, имеющего доступ к этой инфраструктуре, его прав и обязанностей, уровня полномочий и типов доступа); результаты оценки ущерба (рисков), определенные в Главе 2 настоящей Модели угроз; негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в Главе 3 настоящей Модели угроз; объекты воздействия угроз безопасности информации и виды воздействия на них, определенные в Главе 4 настоящей Модели угроз.
Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют ИСПДн.
На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации определяются виды нарушителей, актуальных для ИСПДн. Основными видами нарушителей, подлежащих оценке, являются:
специальные службы иностранных государств; террористические, экстремистские группировки; преступные группы (криминальные структуры); отдельные физические лица (хакеры); конкурирующие организации; разработчики программных, программно-аппаратных средств; лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем; поставщики услуг связи, вычислительных услуг; лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ; лица, обеспечивающие функционирование ИСПДн или обеспечивающих систем оператора (администрация, охрана, уборщики и др.); авторизованные пользователи ИСПДн; системные администраторы и администраторы безопасности; бывшие (уволенные) работники (пользователи).
Указанные виды нарушителей могут быть дополнены иными нарушителями с учетом особенностей области деятельности, в которой функционирует ИСПДн. Для ИСПДн актуальными могут являться нарушители нескольких видов.
Нарушители признаются актуальными для ИСПДн, когда возможные цели реализации ими угроз безопасности информации могут привести к определенным для ИСПДн негативным последствиям и соответствующим рискам (видам ущерба).
Для актуальных нарушителей должны быть определены их категории в зависимости от имеющихся прав и условий по доступу к ИСПДн, обусловленных архитектурой и условиями функционирования ИСПДн, а также от установленных возможностей нарушителей. При этом нарушители подразделяются на две категории:
внешние нарушители – нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам и компонентам ИСПДн, требующим авторизации; внутренние нарушители – нарушители, имеющие права доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсам и компонентам ИСПДн.
Внутренние нарушители первоначально могут иметь разный уровень прав доступа к информационным ресурсам и компонентам ИСПДн. К внутренним нарушителям относятся пользователи, имеющие как непривилегированные (пользовательские), так и привилегированные (административные) права доступа к информационным ресурсам и компонентам ИСПДн.
Внешние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых. Внутренние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых или непреднамеренно (непреднамеренные угрозы безопасности информации) без использования программных, программно-аппаратных средств.
При оценке возможностей нарушителей необходимо исходить из того, что для повышения уровня своих возможностей нарушители 1 вида могут вступать в сговор с нарушителями 5, 6, 7, 8, 9, 10, 11, 12 видов. Нарушители 2 вида могут вступать в сговор с нарушителями 10, 11, 12 видов. Нарушители 3 вида могут вступать в сговор с нарушителями 10, 11, 12 видов. В случае принятия таких предположений цели и уровни возможностей нарушителей подлежат объединению.
Так как Наименование предприятия является органом государственной власти / муниципальным органом / бюджетным учреждением, предполагается, что конкурирующие организации для Наименование предприятия отсутствуют. Соответственно, можно предположить отсутствие целей реализации угроз безопасности информации для данного вида нарушителя.
Предполагается, что разработчики программных, программно-аппаратных средств, применяемых в ИСПДн «Название ИСПДн», не заинтересованы в причинении ущерба Наименование предприятия или гражданам, персональные данные которых обрабатываются в ИСПДн «Название ИСПДн», вследствие отсутствия объективных мотивов для реализации угроз безопасности информации. Таким образом возможной целью данного вида нарушителя могут быть только непреднамеренные, неосторожные или неквалифицированные действия.
Предполагается, что поставщики услуг связи, вычислительных услуг не заинтересованы в причинении ущерба Наименование предприятия или гражданам, персональные данные которых обрабатываются в ИСПДн «Название ИСПДн», вследствие отсутствия объективных мотивов для реализации угроз безопасности информации. Таким образом возможной целью данного вида нарушителя могут быть только непреднамеренные, неосторожные или неквалифицированные действия.
Определение возможных целей потенциальных нарушителей применительно к ИСПДн «Название ИСПДн» производится экспертным методом экспертной группой, состав которой приведен в Главе 1 настоящей Модели угроз. В ходе работы экспертной группы проводится опрос ее членов с целью определить, актуальны ли соответствующие цели реализации угроз безопасности информации потенциальными нарушителями или нет. Оценка производится в 2 раунда. Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку целей реализации угроз безопасности информации по числовой шкале от «1» до «10»; в каждом раунде после оценки соответствующей цели каждым членом экспертной группы отбрасываются минимальные и максимальные оценки; определяется среднее значение в каждом раунде; определяется итоговое среднее значение по всем раундам.
Негативные последствия считаются актуальными, если итоговое среднее значение больше или равно «7».
Результаты опроса экспертной группы представлены в Таблице №4.
Таблица №4 № п/п
| Раунд 1
| Раунд 2
| Общий итог
| Актуальность
| Петров А.А.
| Иванов Б.Б.
| Сидоров В.В.
| Итог раунда 1
| Петров А.А.
| Иванов Б.Б.
| Сидоров В.В.
| Итог раунда 2
|
|
| 1
| Специальные службы иностранных государств
| Нанесение ущерба государству в области обеспечения обороны, безопасности и правопорядка, а также в иных отдельных областях его деятельности или секторах экономики, в том числе дискредитация или дестабилизация деятельности отдельных органов государственной власти, организаций, получение конкурентных преимуществ на уровне государства, срыв заключения международных договоров, создание внутриполитического кризиса
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| 2
| Террористические, экстремистские группировки
| Совершение террористических актов, угроза жизни граждан
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| Нанесение ущерба отдельным сферам деятельности или секторам экономики государства
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| Дестабилизация общества
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| Дестабилизация деятельности органов государственной власти, организаций
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| 3
| Преступные группы (криминальные структуры)
| Получение финансовой или иной материальной выгоды
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| Желание самореализации (подтверждение статуса)
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| 4
| Отдельные физические лица (хакеры)
| Получение финансовой или иной материальной выгоды
| 8
| 8
| 9
| 8
| 8
| 7
| 10
| 8
| 8
| да
| Любопытство или желание самореализации (подтверждение статуса)
| 8
| 10
| 7
| 8
| 7
| 10
| 10
| 10
| 9
| да
| 5
| Конкурирующие организации
| Получение конкурентных преимуществ
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| Получение финансовой или иной материальной выгоды
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| 1
| нет
| …
|
После определения возможных целей реализации угрозы безопасности информации потенциальными нарушителями, были сопоставлены нарушители, их возможные цели реализации угроз безопасности информации и возможные негативные последствия и виды рисков (ущерба) от их реализации (возникновения). Результаты сопоставления приведены в Таблице №5. Таблица №5
Вид нарушителя
| Возможные цели реализации угроз безопасности информации
| Соответствие целей видам риска (ущерба) и возможным негативным последствиям
| Нанесение ущерба физическому лицу
| Нанесение ущерба юридическому лицу, индивидуальному предпринимателю
| Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
| Специальные службы иностранных государств
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Нанесение ущерба юридическому лицу, индивидуальному предпринимателю не соответствует предполагаемым целям данного вида нарушителя
| Дискредитация или дестабилизация деятельности отдельных органов государственной власти, организаций, получение конкурентных преимуществ на уровне государства, срыв заключения международных договоров, создание внутриполитического кризиса
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям
| Террористические, экстремистские группировки
| Совершение террористических актов, угроза жизни граждан
| Дестабилизация деятельности организаций
| Нанесение ущерба отдельным сферам деятельности или секторам экономики государства.
Дестабилизация общества.
Дестабилизация деятельности органов государственной власти
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям
| Преступные группы (криминальные структуры)
| Получение финансовой или иной материальной выгоды.
Желание самореализации (подтверждение статуса)
| Получение финансовой или иной материальной выгоды.
Желание самореализации (подтверждение статуса)
| Нанесение ущерба государству не соответствует предполагаемым целям данного вида нарушителя
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям
| Отдельные физические лица (хакеры)
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса)
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса)
| Нанесение ущерба государству не соответствует предполагаемым целям данного вида нарушителя
| У1 (Нарушение конфиденциальности (утечка) персональных данных; «Травля» гражданина в сети «Интернет»; Разглашение персональных данных граждан)
У2 (Простой ИСПДн; Публикация недостоверной информации на веб-ресурсах организации; Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением; Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени)
| Конкурирующие организации
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Нанесение ущерба юридическому лицу, индивидуальному предпринимателю не соответствует предполагаемым целям данного вида нарушителя ИЛИ Получение конкурентных преимуществ.
Получение финансовой или иной материальной выгоды
| Нанесение ущерба государству не соответствует предполагаемым целям данного вида нарушителя
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям ИЛИ У2 (Потеря клиентов, поставщиков; Потеря конкурентного преимущества;
Нарушение деловой репутации; Снижение престижа; Дискредитация работников; Утрата доверия; Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций); Публикация недостоверной информации на веб-ресурсах организации; Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением)
| Разработчики программных, программно-аппаратных средств
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Непреднамеренные, неосторожные или неквалифицированные действия
| Непреднамеренные, неосторожные или неквалифицированные действия
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям
| Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
| Непреднамеренные, неосторожные или неквалифицированные действия.
| У2 (Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств); Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн)
| Поставщики услуг связи, вычислительных услуг
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Непреднамеренные, неосторожные или неквалифицированные действия.
| Непреднамеренные, неосторожные или неквалифицированные действия.
| Возможные цели реализации угроз безопасности информации не соответствуют определенным видам риска (ущерба) и возможным негативным последствиям
| Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
| Нанесение ущерба отдельному физическому лицу не соответствует предполагаемым целям данного вида нарушителя
| Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
Получение конкурентных преимуществ
| Непреднамеренные, неосторожные или неквалифицированные действия.
| У2 (Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн)
| Лица, обеспечивающие функционирование ИСПДн или обеспечивающих систем оператора (администрация, охрана, уборщики и др.)
| Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия.
| Получение финансовой или иной материальной выгоды.
Непреднамеренные, неосторожные или неквалифицированные действия
| Непреднамеренные, неосторожные или неквалифицированные действия
| У2 (Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств); Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн)
| Авторизованные пользователи ИСПДн
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
| Непреднамеренные, неосторожные или неквалифицированные действия
| У1 (Разглашение персональных данных граждан)
У2 (Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств); Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн; Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени)
| Системные администраторы и администраторы безопасности
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
| Получение финансовой или иной материальной выгоды.
Любопытство или желание самореализации (подтверждение статуса).
Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
| Непреднамеренные, неосторожные или неквалифицированные действия
| У1 (Разглашение персональных данных граждан)
У2 (Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств); Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн; Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени; Публикация недостоверной информации на веб-ресурсах организации; Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением)
| Бывшие (уволенные) работники (пользователи)
| Получение финансовой или иной материальной выгоды.
Месть за ранее совершенные действия
| Получение финансовой или иной материальной выгоды.
Месть за ранее совершенные действия
| Нанесение ущерба государству не соответствует предполагаемым целям данного вида нарушителя
| У1 (Нарушение конфиденциальности (утечка) персональных данных; Разглашение персональных данных граждан)
У2 (Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств); Необходимость дополнительных (незапланированных) затрат на восстановление деятельности;
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций); Простой ИСПДн; Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени)
|
Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации. В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:
базовыми возможностями по реализации угроз безопасности информации; базовыми повышенными возможностями по реализации угроз безопасности информации; средними возможностями по реализации угроз безопасности информации; высокими возможностями по реализации угроз безопасности информации.
Для ИСПДн актуальными могут являться нарушители, имеющие разные уровни возможностей. Уровни возможностей нарушителей по реализации угроз безопасности информации приведены в Таблице №6. Таблица №6 Уровень возможностей
нарушителей
| Возможности нарушителей по реализации угроз безопасности информации
| Виды нарушителей
| Нарушитель, обладающий базовыми возможностями
| Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.
Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов
| Физическое лицо (хакер);
Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;
Лица, обеспечивающие функционирование ИСПДн или обеспечивающих систем (администрация, охрана, уборщики и т.д.);
Авторизованные пользователи ИСПДн;
Бывшие работники (пользователи)
| Нарушитель, обладающий базовыми повышенными возможностями
| Обладает всеми возможностями нарушителей с базовыми возможностями.
Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, однако хорошо владеет этими средствами и инструментами, понимает, как они работают и может вносить изменения в их функционирование для повышения эффективности реализации угроз.
Оснащен и владеет фреймворками и наборами средств, инструментов для реализации угроз безопасности информации и использования уязвимостей.
Имеет навыки самостоятельного планирования и реализации сценариев угроз безопасности информации.
Обладает практическими знаниями о функционировании ИСПДн, операционных систем, а также имеет знания защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Таким образом, нарушители с базовыми повышенными возможностями имеют возможность реализовывать угрозы, в том числе направленные на неизвестные (недокументированные) уязвимости, с использованием специально созданных для этого инструментов, свободно распространяемых в сети «Интернет». Не имеют возможностей реализации угроз на физически изолированные сегменты ИСПДн
| Преступные группы (два лица и более, действующие по единому плану);
Конкурирующие организации;
Поставщики вычислительных услуг, услуг связи;
Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
Системные администраторы и администраторы безопасности
| Нарушитель, обладающий средними возможностями
| Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
Имеет возможность приобретать информацию об уязвимостях, размещаемую на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность приобретать дорогостоящие средства и инструменты для реализации угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей).
Имеет возможность самостоятельно разрабатывать средства (инструменты), необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных средств.
Имеет возможность получения доступа к встраиваемому программному обеспечению аппаратных платформ, системному и прикладному программному обеспечению, телекоммуникационному оборудованию и другим программно-аппаратным средствам для проведения их анализа.
Обладает знаниями и практическими навыками проведения анализа программного кода для получения информации об уязвимостях.
Обладает высокими знаниями и практическими навыками о функционировании ИСПДн, операционных систем, а также имеет глубокое понимание защитных механизмов, применяемых в программном обеспечении, программно-аппаратных средствах.
Имеет возможность реализовывать угрозы безопасности информации в составе группы лиц.
Таким образом, нарушители со средними возможностями имеют возможность реализовывать угрозы, в том числе на выявленные ими неизвестные уязвимости, с использованием самостоятельно разработанных для этого инструментов. Не имеют возможностей реализации угроз на физически изолированные сегменты ИСПДн
| Террористические, экстремистские группировки;
Разработчики программных, программно-аппаратных средств
| Нарушитель, обладающий
высокими возможностями
| Обладает всеми возможностями нарушителей со средними возможностями.
Имеет возможность получения доступа к исходному коду встраиваемого программного обеспечения аппаратных платформ, системного и прикладного программного обеспечения, телекоммуникационного оборудования и других программно-аппаратных средств для получения сведений об уязвимостях «нулевого дня».
Имеет возможность внедрения программных (программно-аппаратных) закладок или уязвимостей на различных этапах поставки программного обеспечения или программно-аппаратных средств.
Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение.
Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности.
Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений.
Имеет возможность долговременно и незаметно для операторов ИСПДн реализовывать угрозы безопасности информации.
Обладает исключительными знаниями и практическими навыками о функционировании ИСПДн, операционных систем, аппаратном обеспечении, а также осведомлен о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемой ИСПДн.
Таким образом, нарушители с высокими возможностями имеют практически неограниченные возможности реализовывать угрозы, в том числе с использованием недекларированных возможностей, программных, программно-аппаратных закладок, встроенных в компоненты ИСПДн
| Специальные службы иностранных государств
|
По результатам определения источников угроз безопасности информации определяются:
виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности; категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы.
При определении источников угроз безопасности информации необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей, преднамеренно реализующих угрозы безопасности информации. Кроме того, необходимо учитывать, что такие виды нарушителей как специальные службы иностранных государств и террористические, экстремистские группировки могут привлекать (входить в сговор) внутренних нарушителей, в том числе обладающих привилегированными правами доступа. В этом случае уровень возможностей актуальных нарушителей определяется совокупностью возможностей нарушителей, входящих в сговор.
Результат определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им возможности представлен в Таблице №7. Таблица №7
Вид риска (ущерба)
| Возможные негативные последствия
| Вид актуального нарушителя
| Категория нарушителя
| Уровень возможностей нарушителя
| Ущерб физическому лицу (У1)
| Нарушение конфиденциальности (утечка) персональных данных.
«Травля» гражданина в сети «Интернет».
Разглашение персональных данных граждан.
| Отдельные физические лица (хакеры)
| Внешний
| Базовый
| Авторизованные пользователи ИСПДн
| Внутренний
| Базовый
| Системные администраторы и администраторы безопасности
| Внутренний
| Базовый повышенный
| Бывшие (уволенные) работники (пользователи)
| Внешний
| Базовый
| Риски юридическому лицу, индивидуальному предпринимателю, связанные с хозяйственной деятельностью (У2)
| Нарушение законодательства Российской Федерации.
Необходимость дополнительных (незапланированных) затрат на выплаты штрафов (неустоек) или компенсаций.
Необходимость дополнительных (незапланированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, технических средств, вышедших из строя, замена, настройка, ремонт указанных средств).
Необходимость дополнительных (незапланированных) затрат на восстановление деятельности.
Потеря клиентов, поставщиков.
Потеря конкурентного преимущества.
Нарушение деловой репутации.
Снижение престижа.
Дискредитация работников.
Утрата доверия.
Невозможность решения задач (реализации функций) или снижение эффективности решения задач (реализации функций).
Необходимость изменения (перестроения) внутренних процедур для достижения целей, решения задач (реализации функций).
Простой ИСПДн.
Публикация недостоверной информации на веб-ресурсах организации.
Использование веб-ресурсов для распространения и управления вредоносным программным обеспечением.
Рассылка информационных сообщений с использованием вычислительных мощностей оператора и (или) от его имени.
| Отдельные физические лица (хакеры)
| Внешний
| Базовый
| Конкурирующие организации
| Внешний
| Базовый повышенный
| Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем
| Внешний
| Базовый
| Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
| Внутренний
| Базовый повышенный
| Лица, обеспечивающие функционирование ИСПДн или обеспечивающих систем оператора (администрация, охрана, уборщики и др.)
| Внутренний
| Базовый
| Авторизованные пользователи ИСПДн
| Внутренний
| Базовый
| Системные администраторы и администраторы безопасности
| Внутренний
| Базовый повышенный
| Бывшие (уволенные) работники (пользователи)
| Внешний
| Базовый
| |
|
|