Tag Archives: Mimbolovethreat model

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы

Автор Itworkroom
Threat-Model

МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы

В данной статье приведен пример модели угроз безопасности информации разработанной для автоматизированной системы (АС) не являющейся Информационной системой персональных данных (ИСПДн). В рассматриваемой Автоматизированной системе (АС) обрабатываются конфиденциальная информация (в числе защищаемых данных присутствуют, в том числе и персональные данные пользователей). При всем при этом, АС не классифицирована как ИСПДн. Для удобства ознакомления, материал разбит на главы, а каждая глава на отдельную запись.
Источником информации об угрозах используется «Банк данных угроз безопасности информации ФСТЭК России«. В качестве методики построения модели угроз применяется не утвержденный и не опубликованный проект документа ФСТЭК России ‘Методика определения угроз безопасности в информационных системах’ (2015), поэтому не рекомендуется использовать её пока она не утверждена.

Весь представленный материал имеет информативный характер, и может использоваться только для ознакомления с методикой построения модели угроз для АС не являющейся ИСПДн.

Документ имеет классическую иерархическую структуру, и состоит из 7 разделов:

  1. Общие положения
  2. Классификация угроз безопасности
  3. Субъекты и объекты воздействия угроз безопасности
  4. Модель нарушителей безопасности
  5. Общая характеристика угроз безопасности 
  6. Оценка потенциальных угроз безопасности в АС
  7. Определение актуальных угроз безопасности информации в АС

Также в документе имеются следующие разделы:

Термины и определения, Перечень сокращений, нормативные ссылки, заключение и приложения.

 

Термины и определения используемые в модели угроз безопасности информации.

Автор Itworkroom

Термины и определения используемые в модели угроз безопасности информации.

Термины и определения

(далее…)

Оценка потенциальных угроз безопасности в АС

Автор Itworkroom

Шестая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

6. ОЦЕНКА ПОТЕНЦИАЛЬНЫХ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АС

6.1. Оценка значимости объектов защиты

Проведение оценки возможности реализации потенциальных угроз существенно зависит от значимости объектов защиты[1].

Оценка значимости объектов защиты включала в себя категорирования[2] защищаемой информации по установленным градациям важности базовых свойств защищаемой информации: конфиденциальности, целостности и доступности. Каждое свойство в зависимости от его важности в процессах защиты информации принимало одно из четырех возможных значений:

  1. Высокий уровень важности оцениваемого свойства защищаемой информации «3» — нарушение свойства защищаемой информации на объекте защиты приводит к существенным негативным последствиям, связанным со значительным материальным и/или моральным ущербом.
  2. Средний уровень важности оцениваемого свойства защищаемой информации «2» — нарушение свойства защищаемой информации на объекте защиты приводит к негативным последствиям, связанным с незначительным материальным и/или моральным ущербом.
  3. Низкий уровень важности оцениваемого свойства защищаемой информации «1» — нарушение свойства защищаемой информации на объекте защиты приводит к нарушениям штатного режима функционирования СВТ (негативным последствиям), не связанным с материальным и/или моральным ущербом обладателя информации.
  4. Нулевой уровень важности оцениваемого свойства защищаемой информации «0» — нарушение свойства защищаемой информации на объекте защиты не приводит к каким-либо негативным последствиям, связанным с проявлением угроз.

(далее…)

Общая характеристика угроз безопасности

Автор Itworkroom

Пятая часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. Общая характеристика потенциальных УГРОЗ БЕЗОПАСНОСТИ

В процессах функционирования АС возможна реализация следующих форм реализации угроз:

  • угрозы с использованием социального инжиниринга;
  • угрозы утечки информации по техническим каналам;
  • угрозы создания нештатных режимов работы;
  • угрозы НСД, включающие в себя:
  • угрозы несанкционированного доступа к оборудованию СВТ
  • угрозы НСД к защищаемой информации в среде ОС;
  • угрозы НСД с использованием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении;
  • угрозы НСД путем применения средств программно-математического воздействия на информацию.

(далее…)

Субъекты и объекты воздействия угроз безопасности

Автор Itworkroom

Третья часть документа МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Автоматизированной системы.

1. СУБЪЕКТЫ И ОБЪЕКТЫ ВОЗДЕЙСТВИЯ УГРОЗ

Для проведения оценки и определения состава потенциальных угроз безопасности информации, обрабатываемой в автоматизированной системе, необходимо идентифицировать все объекты данной системы, подлежащие защите (далее объекты защиты). Состав объектов защиты определяется на основе анализа субъектов и объектов АС, на которые могут воздействовать или в границах которых могут иметь место проявления потенциальными угроз.

К субъектам и объектам воздействия потенциальных угроз (субъекты и объекты воздействия угроз) относятся:

  • процессы функционирования АС;
  • оборудование, включая СВТ и компоненты, входящее в состав АС;
  • используемое программное обеспечение;
  • особые зоны (контролируемая территория, коммуникации, помещения);
  • субъекты воздействия угроз (персонал АС);
  • информационные ресурсы, как носители конфиденциальной информации и иной защищаемой информации, в том числе:
  • информации о состоянии процессов функционирования АС;
  • информации, обрабатываемая в АС в ходе выполнения персоналом своих функциональных обязанностей;
  • сведений о коммерческой деятельности;
  • технологической и управляющей информации (конфигурационные файлы, таблицы маршрутизации, настройки систем защиты и пр.);
  • аутентификационной информации (ключи, пароли, ключевая документация и т.д.);
  • специальное ПО, а также резервные копии (дистрибутивы) используемого системного и прикладного ПО, инструментальные средства (утилиты и т.п.) систем управления (администрирования), чувствительные по отношению к случайным и/или несанкционированным воздействиям;
  • информация о подсистемах и СЗИ, их структуре, принципах функционирования, используемых технических решениях и процедурах управления (администрирования);
  • информация, хранимая в файловых и иных электронных хранилищах о состоянии подсистем жизнеобеспечения и физической защиты, о событиях, произошедших в АС, а также о планах и регламентах обеспечения ее бесперебойной работы и восстановления в случае сбоев и отказов.

(далее…)