|
Модель угроз. Утверждена приказом ау
СПОСОБЫ РЕАЛИЗАЦИИ (ВОЗНИКНОВЕНИЯ) УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ходе оценки угроз безопасности информации определяются возможные способы реализации (возникновения) угроз безопасности информации, за счет использования которых актуальными нарушителями могут быть реализованы угрозы безопасности информации в ИС «Сайт», – актуальные способы реализации (возникновения) угроз безопасности информации. Процесс определения актуальных способов реализации (возникновения) угроз безопасности информации включал:
Составление перечня рассматриваемых (возможных) способов реализации угроз безопасности. Перечень возможных способов реализации угроз безопасности информации представлен в таблице 11.
Таблица 11 – Перечень возможных способов реализации угроз безопасности информации
Идентификатор
| Способы реализации
| СР.1
| Использование уязвимостей (уязвимостей кода (программного
обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей)
| СР.2
| Внедрение вредоносного программного обеспечения
| СР.3
| Использование недекларированных возможностей программного
обеспечения и (или) программно-аппаратных средств
| СР.4
| Установка программных и (или) программно-аппаратных закладок в
программное обеспечение и (или) программно-аппаратные средства
| СР.5
| Формирование и использование скрытых каналов (по времени, по
памяти) для передачи конфиденциальных данных
| СР.6
| Перехват (измерение) побочных электромагнитных излучений и
наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации
| СР.7
| Инвазивные способы доступа к конфиденциальной информации,
содержащейся в аппаратных средствах аутентификации
| СР.8
| Нарушение безопасности при поставках программных, программно- аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе
администрированию, обслуживанию)
| СР.9
| Ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-
аппаратных средств
| СР.10
| Перехват трафика сети передачи данных
| СР.11
| Несанкционированный физический доступ и (или) воздействие на
линии, (каналы) связи, технические средства, машинные носители информации
| СР.12
| Реализация атак типа "отказ в обслуживании" в отношении технических средств, программного обеспечения и каналов передачи
данных
|
Определение интерфейсов объектов воздействия, определенных в соответствии с разделом 5 настоящей Модели угроз. Интерфейсы объектов воздействия определялись на основе изучения и анализа данных:
об архитектуре, составе и условиях функционирования ИС «Сайт»; о группах пользователей ИС «Сайт», их типов доступа и уровней полномочий.
Определение наличия у актуальных нарушителей возможности доступа к интерфейсам объектов воздействия. Определение актуальных способов реализации (возникновения) угроз безопасности информации актуальным нарушителем через доступные ему интерфейсы объектов воздействия.
Результаты процесса определения актуальных способов реализации (возникновения) угроз безопасности информации, включающие описание способов реализации (возникновения) угроз безопасности информации, которые могут быть использованы актуальными нарушителями, и описание интерфейсов объектов воздействия, доступных для использования актуальным нарушителям, представлены в таблице 12.
Таблица 12 – Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их
возможности
Вид нарушителя
| Категория нарушителя
|
Объекты воздействия
|
Доступные интерфейсы
| Способы реализации (идентификатор)
| Отдельные физические лица (хакеры)
| Внешний
| Веб-сайт
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.2; СР.12
| XML-схема, передаваемая
между клиентом и сервером
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.10
| Веб-сервер
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.2; СР.12
| Виртуальная инфраструкту- ра (воздействие на гиперви- зор, виртуальные машины, образы виртуальных машин, виртуальные устройства, виртуальные диски и вирту- альные устройства хранения данных, систему управления виртуальной инфраструкту-
рой)
| Каналы связи с внешними информационно- телекоммуникационными сетями
| СР.1; СР.10
| Защищаемая информация
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.10
| Информационная (автомати-
зированная) система
| Пользователи
| СР.1
| Объекты файловой системы
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.4; СР.9
| Сетевое оборудование
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.12
| Сетевое программное обес-
печение
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.9; СР.12
|
Вид нарушителя
| Категория нарушителя
|
Объекты воздействия
|
Доступные интерфейсы
| Способы реализации
(идентификатор)
|
|
| Сетевой трафик
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.9; СР.10;
СР.12
| Системное программное
обеспечение
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.2
| Средство вычислительной
техники
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.2
| Средство защиты информа-
ции
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.1; СР.9; СР.12
| Узел вычислительной сети (автоматизированные ра- бочие места, сервера, мар-
шрутизаторы, коммутаторы, IoT-устройства и т.п.)
| Каналы связи с внешними информационно- телекоммуникационными сетями
| СР.1; СР.2; СР.12
| Учетные данные пользовате-
ля
| Каналы связи с внешними информационно-
телекоммуникационными сетями
| СР.10
| Лица, обеспечивающие пос- тавку программных, програм- мно-аппаратных средств, обес- печивающих систем
| Внешний
| BIOS/UEFI
| Консоль управления BIOS/UEFI
| СР.1; СР.3; СР.9
| Физический доступ к аппаратному обеспе-
чению BIOS
| СР.8; СР.9; СР.11
| Защищаемая информация
| Доступ через средства вычислительной тех-
ники
| СР.1; СР.4; СР.9;
СР.11
| Сетевое оборудование
| Физический доступ к программно-аппарат-
ным средствам обработки информации
| СР.3; СР.4; СР.5;
СР.8; СР.9; СР.11
| Система поддержания тем- пературно-влажностного ре- жима
| Консоль управления системой поддержа-
ния температурно-влажностного режима
| СР.1; СР.9
| Физический доступ к техническим средс-
твам системы поддержания температурно- влажностного режима
| СР.1; СР.11
| Средство вычислительной
техники
| Физический доступ к программно-аппарат-
ным средствам обработки информации
| СР.3; СР.8; СР.9;
СР.11
| |
|
|