|
|
Модель угроз. Утверждена приказом ау
ВОЗМОЖНЫЕ ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ
В ходе оценки угроз безопасности информации определяются информационные ресурсы и компоненты ИСПДна «Бухгалтерский и кадровый учет», несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям, определенным в разделе 4 настоящей Модели угроз, – объектов воздействия.
Объекты воздействия определялись для реальной архитектуры и условий функционирования ИСПДна «Бухгалтерский и кадровый учет» на основе анализа исходных данных и проведенной инвентаризации.
Определение объектов воздействия производилось на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей.
В отношении каждого объекта воздействия определялись виды воздействия на него, которые могут привести к негативным последствиям. Рассматриваемые виды воздействия представлены в таблице 6.
Таблица 6 – Виды воздействия
Идентификатор
|
Вид воздействия
|
ВВ.1
|
утечка (перехват) конфиденциальной информации или отдельных
данных (нарушение конфиденциальности)
|
ВВ.2
|
несанкционированный доступ к компонентам, защищаемой ин-
формации, системным, конфигурационным, иным служебным дан- ным
|
ВВ.3
|
отказ в обслуживании компонентов (нарушение доступности)
|
ВВ.4
|
несанкционированная модификация, подмена, искажение защища-
емой информации, системных, конфигурационных, иных служеб- ных данных (нарушение целостности)
|
ВВ.5
|
несанкционированное использование вычислительных ресурсов
систем и сетей в интересах решения несвойственных им задач
|
ВВ.6
|
нарушение функционирования (работоспособности) программно-
аппаратных средств обработки, передачи и хранения информации
|
Итоговый перечень объектов воздействия со списком возможных видов воздействия на них, реализация которых может привести к негативным последствиям, представлен в таблице 7.
Таблица 7 – Объекты воздействия и виды воздействия
Негативные'>Негативные последствия
|
Объекты воздействия
|
Виды воздействия
|
Разглашение персо-
нальных данных граж- дан
|
Узел вычислитель-
ной сети (авто- матизированные
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
|
рабочие места, сер- вера, маршрутиза- торы, коммутато- ры, IoT-устройства
и т.п.)
|
|
Информационная (автоматизирован-
ная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Нарушение неприкос- новенности частной жизни
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Защищаемая ин-
формация
|
ВВ.1; ВВ.2; ВВ.4
|
Нарушение личной, се- мейной тайны, утрата чести и доброго имени
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Защищаемая ин-
формация
|
ВВ.1; ВВ.2; ВВ.4
|
Нарушение иных прав и свобод гражданина, закрепленных в Кон- ституции Российской Федерации и федераль-
ных законах
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Защищаемая ин- формация
|
ВВ.1; ВВ.2; ВВ.4
|
Финансовый, иной ма- териальный ущерб фи- зическому лицу
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Защищаемая ин-
формация
|
ВВ.1; ВВ.2; ВВ.4
|
Учетные данные
пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Нарушение конфиден- циальности (утечка) персональных данных
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Средство вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Узел вычислитель- ной сети (авто- матизированные рабочие места, сер- вера, маршрутиза- торы, коммутато-
ры, IoT-устройства и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Защищаемая ин-
формация
|
ВВ.1; ВВ.2; ВВ.4
|
Машинный но- ситель информа-
ции в составе
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
|
средств вычисли-
тельной техники
|
|
Учетные данные
пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Объекты файловой
системы
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Средства крип- тографической за-
щиты информации
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Нарушение законо- дательства Российской Федерации (юридичес- кое лицо, индивиду- альный предпринима-
тель)
|
Информационная (автоматизирован- ная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Необходимость допол- нительных (незапла- нированных) затрат на выплаты штрафов (не- устоек) или компенса-
ций
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Защищаемая ин- формация
|
ВВ.1; ВВ.2; ВВ.4
|
Необходимость допол- нительных (незапла- нированных) затрат на закупку товаров, работ или услуг (в том числе закупка программного обеспечения, техничес- ких средств, вышед- ших из строя, замена, настройка, ремонт ука- занных средств)
|
BIOS/UEFI
|
ВВ.2; ВВ.3; ВВ.4
|
Сетевое оборудо-
вание
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Сетевое програм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Системное прог-
раммное обеспе- чение
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная ин- фраструктура (воз- действие на гипер- визор, виртуаль- ные машины, обра- зы виртуальных машин, виртуаль- ные устройства, виртуальные диски и виртуальные ус- тройства хранения данных, систему управления вирту-
альной ин- фраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
|
Средство вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Средство защиты
информации
|
ВВ.2; ВВ.3; ВВ.4
|
Узел вычислитель- ной сети (авто- матизированные рабочие места, сер- вера, маршрутиза- торы, коммутато- ры, IoT-устройства
и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Информационная (автоматизирован-
ная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Машинный но- ситель информа- ции в составе средств вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Микропрограм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Учетные данные
пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Средства крип- тографической за-
щиты информации
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Система поддержа- ния температурно- влажностного ре-
жима
|
ВВ.2; ВВ.3; ВВ.4
|
Невозможность ре- шения задач (реали- зации функций) или снижение эффектив- ности решения задач (реализации функций)
|
BIOS/UEFI
|
ВВ.2; ВВ.3; ВВ.4
|
Сетевое оборудо-
вание
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Сетевое програм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Системное прог-
раммное обеспе- чение
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная ин- фраструктура (воз- действие на гипер- визор, виртуаль- ные машины, обра-
зы виртуальных
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
|
машин, виртуаль- ные устройства, виртуальные диски и виртуальные ус- тройства хранения данных, систему управления вирту- альной ин-
фраструктурой)
|
|
Средство вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Средство защиты
информации
|
ВВ.2; ВВ.3; ВВ.4
|
Узел вычислитель- ной сети (авто- матизированные рабочие места, сер- вера, маршрутиза- торы, коммутато-
ры, IoT-устройства и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Информационная (автоматизирован-
ная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Машинный но- ситель информа- ции в составе средств вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Микропрограм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Учетные данные
пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Объекты файловой
системы
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Средства крип- тографической за-
щиты информации
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Система поддержа- ния температурно- влажностного ре-
жима
|
ВВ.2; ВВ.3; ВВ.4
|
Необходимость изме- нения (перестроения) внутренних процедур
|
BIOS/UEFI
|
ВВ.2; ВВ.3; ВВ.4
|
Сетевое оборудо-
вание
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
для достижения целей, решения задач (реали- зации функций)
|
Сетевое програм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Системное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Виртуальная ин- фраструктура (воз- действие на гипер- визор, виртуаль- ные машины, обра- зы виртуальных машин, виртуаль- ные устройства, виртуальные диски и виртуальные ус- тройства хранения данных, систему управления вирту- альной ин-
фраструктурой)
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Средство вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Средство защиты
информации
|
ВВ.2; ВВ.3; ВВ.4
|
Узел вычислитель- ной сети (авто- матизированные рабочие места, сер- вера, маршрутиза- торы, коммутато- ры, IoT-устройства
и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Информационная (автоматизирован-
ная) система
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Машинный но- ситель информа- ции в составе средств вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Микропрограм-
мное обеспечение
|
ВВ.2; ВВ.3; ВВ.4
|
Объекты файловой
системы
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог- раммное обеспе-
чение
|
ВВ.2; ВВ.3; ВВ.4
|
Негативные
последствия
|
Объекты
воздействия
|
Виды воздействия
|
|
Средства крип- тографической за-
щиты информации
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Система поддержа- ния температурно- влажностного ре-
жима
|
ВВ.2; ВВ.3; ВВ.4
|
Утечка конфиденци- альной информации (коммерческой тайны, секретов производства (ноу-хау) и др.)
|
Сетевой трафик
|
ВВ.1; ВВ.2; ВВ.4
|
База данных
|
ВВ.1; ВВ.2; ВВ.4
|
Средство вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4; ВВ.5; ВВ.6
|
Узел вычислитель- ной сети (авто- матизированные рабочие места, сер- вера, маршрутиза- торы, коммутато- ры, IoT-устройства
и т.п.)
|
ВВ.2; ВВ.3; ВВ.4; ВВ.6
|
Защищаемая ин-
формация
|
ВВ.1; ВВ.2; ВВ.4
|
Машинный но- ситель информа- ции в составе средств вычисли-
тельной техники
|
ВВ.1; ВВ.2; ВВ.3; ВВ.4
|
Учетные данные
пользователя
|
ВВ.1; ВВ.2; ВВ.4
|
Объекты файловой
системы
|
ВВ.1; ВВ.2; ВВ.4
|
Прикладное прог-
раммное обеспе- чение
|
ВВ.2; ВВ.3; ВВ.4
| |
|
|
Скачать 1.31 Mb.