МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПЕРСОНАЛЬНЫХ ДАННЫХ. 2. Учебный пример МУ ИСПДн ИМОИБ. Учебный пример для самостоятельной подготовки

Способы реализации (возникновения) угроз безопасности информации

• 
  общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;
  
• 
  документация на системы и сети (в части сведений о составе и архитектуре, о группах пользователей и их типах доступа и уровней полномочий, о внешних и внутренних интерфейсах);
  
• 
  негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в Главе 3 настоящей Модели угроз;
  
• 
  объекты воздействия угроз безопасности информации и соответствующие им виды воздействия, определенные в Главе 4 настоящей Модели угроз;
  
• 
  виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в Главе 5 настоящей Модели угроз.
  

• 
  использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации ИСПДн, а также организационных и многофакторных уязвимостей);
  
• 
  внедрение вредоносного программного обеспечения;
  
• 
  использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;
  
• 
  установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;
  
• 
  формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;
  
• 
  перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
  
• 
  инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
  
• 
  нарушение безопасности при поставках программных, программно-аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);
  
• 
  ошибочные действия в ходе создания и эксплуатации ИСПДн, в том числе при установке, настройке программных и программно-аппаратных средств.
  

• 
  внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью «Интернет», смежными (взаимодействующими) информационными системами (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
  
• 
  внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами ИСПДн, имеющими внешние сетевые интерфейсы (проводные, беспроводные);
  
• 
  интерфейсы для пользователей (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
  
• 
  интерфейсы для использования съемных машинных носителей информации и периферийного оборудования;
  
• 
  интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов ИСПДн;
  
• 
  возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам ИСПДн.
  

• 
  виды и категории нарушителей, которые имеют возможность использования актуальных способов;
  
• 
  актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.
  

7. 1   ...   4   5   6   7   8   9   10   11   12