Модель угроз. Утверждена приказом ау

Название	Утверждена приказом ау
Анкор	Модель угроз
Дата	16.03.2023
Размер	1.31 Mb.
Формат файла
Имя файла	ilovepdf_merged1.docx
Тип	Документы #994051
страница	69 из 88

1 ... 65 66 67 68 69 70 71 72 ... 88

ОЦЕНКА УГРОЗ В СООТВЕТСТВИИ С МЕТОДИЧЕСКИМИ ДОКУМЕНТАМИ ФСБ РОССИИ

На основании исходных данных об объектах защиты (в соответствии с разделом 5 настоящей Модели угроз) и источниках атак (в соответствии с разделом 6.1 настоящей Модели угроз) ИС «Сайт» определены обобщенные возможности источников атак (таблица 14).

Таблица 14 – Обобщенные возможности источников атак

№	Обобщенные возможности источников атак	Предположение о возможности источников атак
1.	Возможность самостоятельно осуществлять созда- ние способов атак, подготовку и проведение атак только за пределами контролируемой зоны	Да
2.	Возможность самостоятельно осуществлять созда- ние способов атак, подготовку и проведение атак в пределах контролируемой зоны, но без физического доступа к аппаратным средствам, на которых реали- зованы СКЗИ и среда их функционирования	Да
3.	Возможность самостоятельно осуществлять созда- ние способов атак, подготовку и проведение атак в пределах контролируемой зоны с физическим досту- пом к аппаратным средствам, на которых реализова- ны СКЗИ и среда их функционирования	Да
4.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специ- алистов в области анализа сигналов линейной пе- редачи и сигналов побочного электромагнитного из- лучения и наводок СКЗИ)	Нет
5.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специ- алистов в области использования для реализации атак недокументированных возможностей прик- ладного программного обеспечения)	Нет
6.	Возможность привлекать специалистов, имеющих опыт разработки и анализа СКЗИ (включая специ- алистов в области использования для реализации атак недокументированных возможностей аппарат- ного и программного компонентов среды функци- онирования СКЗИ)	Нет

В соответствии с нормативно-правовыми документами ФСБ России реализация угроз безопасности информации определяется возможностями источников атак.
Исходя из обобщенных возможностей источников атак определены уточненные возможности нарушителей и направления атак (соответствующие актуальные угрозы). Результаты приведены в Приложении № 7.
Используемые для защиты информации криптосредства должны обеспечить криптографическую защиту по уровню не ниже КС3.

Источники разработки модели угроз
Система должна соответствовать требованиям следующих Федеральных законов и принятых в соответствии с ними нормативно-правовых актов:

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Методический документ «Методика оценки угроз безопасности информации», утвержденный Федеральной службы по техническому и экспортному контролю 5 февраля 2021 г.;
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденная заместителем директора Федеральной службы по техническому и экспортному контролю 15 февраля 2008 г.;
ГОСТ 15971-90 «Системы обработки информации. Термины и определения», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 26 октября 1990 г. № 2698;
ГОСТ 19781-90 «Обеспечение систем обработки информации программное. Термины и определения», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 27 августа 1990 г. № 2467;
ГОСТ 29099-91 «Сети вычислительные локальные. Термины и определения», утвержденный постановлением Комитета стандартизации и метрологии СССР от 25 сентября 1991 г. № 1491;
ГОСТ Р 59853-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения», утвержденный приказом Росстандарта от 19 ноября 2021 г. № 1520-ст;
ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем», утвержденный приказом Росстандарта от 19 ноября 2021 г.

№ 1521-ст;

ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания», утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 29 декабря 1990 г. № 3469;
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования», утвержденный постановлением Госстандарта России от 9 февраля 1995 г. № 49;
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 373-ст;
ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство», утвержденный постановлением Госстандарта России от 14 июля 1998 г. № 295;
ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 374-ст;
ГОСТ Р 2.105-2019 «Единая система конструкторской документации. Общие требования к текстовым документам», утвержденный приказом Росстандарта от 29 апреля 2019 г. № 175-ст;
ГОСТ Р 56938-2016 «Защита информации. Защита информации при использовании технологий виртуализации. Общие положения», утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 1 июня 2016 г. № 457-ст;
ГОСТ Р 59795-2021 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов», утвержденный приказом Росстандарта от 25 октября 2021 г. № 1297-ст;
Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения», утвержденный Решением председателя Гостехкомиссии России от 30 марта 1992 г.

ПРИЛОЖЕНИЕ № 2

Соответствие возможных целей реализации угроз безопасности информации с негативными последствиями

№ п/ п	Вид нарушителя		Цели реализации угроз безопасности информации		Вид риска (ущерба)
					Нанесение ущерба физическому лицу	Нанесение ущерба юри- дическому лицу, инди- видуальному пред- принимателю	Нанесение ущерба госу- дарству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономичес- кой, политической, эко- логической сферах деятельности
1.	Отдельные лица (хакеры)	физические	Получение финансовой или иной материальной выгоды		НП.5	–	–
			Любопытство или желание самореализации (под- тверждение статуса)		НП.1; НП.5	НП.8	–
2.	Лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем		Получение финансовой или иной материальной выгоды		НП.5	–	–
			Получение преимуществ	конкурентных	НП.5	–	–
			Непреднамеренные, неосто- рожные или неквалифициро- ванные действия		НП.1; НП.5	НП.6; НП.7	–
3.	Поставщики вычисли- тельных услуг, услуг свя- зи		Получение финансовой или иной материальной выгоды		НП.5	–	–
			Получение преимуществ	конкурентных	–	НП.8	–

1 ... 65 66 67 68 69 70 71 72 ... 88