Модель угроз безопасности информации - ССВ

Министерство науки и высшего образования Российской Федерации
федеральное государственное бюджетное образовательное учреждение

высшего образования
«НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ
МОРДОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
им. Н.П. ОГАРЁВА»
(ФГБОУ ВО «МГУ им. Н.П. Огарёва»)
Институт электроники и светотехники
Кафедра информационной безопасности и сервиса
ОТЧЁТ О ПРАКТИЧЕСКОЙ РАБОТЕ №1
по дисциплине: Организационное и правовое обеспечение информационной

безопасности
Модель угроз
Автор отчёта о практической работе ____________________ Е.О. Кривочков

подпись, дата
Обозначение практической работы ПР–02069964–10.03.01–09–21
Направление подготовки 10.03.01 Информационная безопасность
Руководитель работы
ст. преподаватель ______________________С.В. Симонов
подпись, дата
Саранск 2021
СОДЕРЖАНИЕ
1 Термины и определения……………………………………………………..3
2 Общие положения……………………………………………………………5
3 Описание систем и сетей и их характеристика как объектов защиты……7
4 Возможные негативные последствия от реализации (возникновения)
угроз безопасности информации……………………………………………….11
5 Возможные объекты воздействия угроз безопасности информации……12
6 Источники угроз безопасности информации……………………………...14
7 Способы реализации (возникновения) угроз безопасности информации…17
8 Оценка актуальности угроз безопасности информации…………………….21
ПРИЛОЖЕНИЕ № 1…………………………………………………………….59
ПРИЛОЖЕНИЕ № 2…………………………………………………………….62
1 Термины и определения
Архитектура систем и сетей – совокупность основных структурно-

функциональных характеристик, свойств, компонентов систем и сетей,
воплощенных в информационных ресурсах и компонентах, правилах их
взаимодействия, режимах обработки информации.
Взаимодействующая (смежная) система – система или сеть, которая в
рамках установленных функций имеет взаимодействие посредством сетевых
интерфейсов с системой и сетью оператора и не включена им в границу
процесса оценки угроз безопасности информации.
Возможности нарушителя – мера усилий нарушителя для реализации
угрозы безопасности информации, выраженная в показателях
компетентности, оснащенности ресурсами и мотивации нарушителя.
Граница оценки угроз безопасности информации – совокупность
информационных ресурсов и компонентов систем и сетей, в пределах
которой обеспечивается защита информации (безопасность) в соответствии с
едиными правилами и процедурами, а также контроль за реализованными
мерами защиты информации (обеспечения безопасности).
Информационные ресурсы – информация, данные, представленные в
форме, предназначенной для хранения и обработки в системах и сетях.
Компонент (системы, сети) – программное, программно-аппаратное
или техническое средство, входящее в состав систем и сетей.
Обеспечивающие системы – инженерные системы, включающие
системы электроснабжения, вентиляции, охлаждения, кондиционирования,
охраны и другие инженерные системы, а также средства, каналы и системы,
предназначенные для оказания услуг связи, других услуг и сервисов,
предоставляемых сторонними организациями, от которых зависит
функционирование систем и сетей.
Обладатель информации – лицо, самостоятельно создавшее
информацию либо получившее на основании закона или договора право
разрешать или ограничивать доступ к информации, определяемой по каким-
либо признакам.
Оператор – лицо, осуществляющее деятельность по эксплуатации
систем и сетей, в том числе по обработке содержащейся в них информации.
Основные (критические) процессы (бизнес-процессы) –
управленческие, организационные, технологические, производственные,
финансово-экономические и иные основные процессы (бизнес-процессы),
выполняемые обладателем информации, оператором в рамках реализации
функций (полномочий) или осуществления основных видов деятельности,
нарушение и (или) прекращение которых может привести к возникновению
рисков (ущербу).
Пользователь – лицо, которому разрешено выполнять некоторые
действия (операции) по обработке информации в системе или сети и
использующее результаты ее функционирования.
Поставщик услуг – лицо, предоставляющее оператору и (или)
обладателю на основании договора или ином законном основании услуги по
использованию своих вычислительных ресурсов, программного обеспечения,
средств хранения или передачи информации.
Программно-аппаратное средство – устройство, состоящее из
аппаратного обеспечения и функционирующего на нем программного
обеспечения, участвующее в формировании, обработке, передаче или приеме
информации.
Угроза безопасности информации – совокупность условий и факторов,
создающих потенциальную или реально существующую опасность
нарушения безопасности информации.
Уязвимость – недостаток (слабость) программного (программно-
технического) средства или системы и сети в целом, который(ая) может быть
использован(а) для реализации угроз безопасности информации.
2 Общие положения
2.1 Назначение и область действия документа

2.1.1 Модель угроз безопасности информации информационной
системы «Служба занятости населения» (далее – Модель угроз) содержит
результаты оценки угроз безопасности информации информационной
системы «Служба занятости населения» (далее – ИСПДн «Служба занятости
населения»).
2.1.2 Оценка угроз проводится в целях определения угроз безопасности
информации, реализация (возникновение) которых возможна в ИС «Служба
занятости населения» (с учетом архитектуры и условий его
функционирования) и может привести к нарушению безопасности
обрабатываемой в ИСПДн «Служба занятости населения» информации
(нарушению конфиденциальности, целостности, доступности,
неотказуемости, подотчетности, аутентичности и достоверности информации
и (или) средств ее обработки) и (или) к нарушению, прекращению
функционирования ИСПДн «Служба занятости населения»  актуальных
угроз безопасности информации.
2.1.3 В соответствии с приказом ФСТЭК России от 11.02.2013 № 17
«Об утверждении Требований о защите информации, не составляющей
государственную тайну, содержащейся в государственных информационных
системах» настоящая Модель угроз подлежит использованию при
формировании требований к системе защиты ИОД (далее ̶ ИОД),
обрабатываемой в ИСПДн «Служба занятости населения».
2.2 Нормативные правовые акты, методические документы,
национальные стандарты, используемые для оценки угроз безопасности
информации и разработки модели угроз
– Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информационных технологиях и о защите
информации»;
– Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных
данных»;
– Постановление Правительства Российской Федерации
от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите
персональных данных при их обработке в информационных системах
персональных данных»;
– Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении
Требований о защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах»;
1. Методический документ «Методика оценки угроз безопасности
информации», утвержденный Федеральной службы по техническому и
экспортному контролю 5 февраля 2021 г..
2.3 Наименование обладателя информации, заказчика, оператора
систем и сетей «Служба занятости населения» - государственное
учреждение, функционирующее в сфере социальной защиты населения.
3 Описание систем и сетей и их характеристика как объектов
защиты
3.1 Наименование систем и сетей, для которых разработана модель

угроз безопасности информации
3.1.1 ИСПДн «Служба занятости населения».
3.2 Класс защищенности, категория значимости систем и сетей,
уровень защищенности персональных данных
3.2.1 В соответствии с приложением №1 приказа ФСТЭК России от
11.02.2013 №17, информационной системе «Служба занятости населения»
присваивается класс защищенности К2, а также необходимость обеспечения
2–го, 3–го и 4–го уровня защищенности ПДн.
3.3 Назначение, задачи (функции) систем и сетей, состав
обрабатываемой информации и ее правовой режим
3.3.1 ИСПДн «Служба занятости населения» предназначена для
комплексной автоматизации похозяйственного учета в субъектах РФ,
формирования, ведения и использования баз данных о населении, земельных
участках, жилом фонде, растениеводческих, животноводческих,
рыбопромысловых и охотничьих хозяйствах, материально-технической базе
хозяйств, а также информационного обслуживания и предоставления услуг
населению.
3.3.2 Состав обрабатываемой информации
Перечень обрабатываемых ПДн:
 фамилия, имя, отчество;
 год рождения;
 дата и место рождения;
 адрес;
 семейное и социальное положение;
 образование и профессия;
 доходы;
 паспортные данные;
 данные ИНН;
 данные пенсионного страхового свидетельства;
 данные свидетельства о рождении детей;
 состав семьи;
 домашний телефон;
 сведения о трудовой деятельности;
 данные трудовой книжки;
 лицевой счёт в банке;
 данные по воинскому учёту.
3.3.3 Правовой режим: сведения конфиденциального характера.
3.4 Основные процессы (бизнес-процессы) обладателя информации,
оператора, для обеспечения которых создаются (функционируют) системы и
сети
3.4.1 Система предназначена для автоматизации бизнес-процессов по
выполнению возложенных на государственное учреждение,
функционирующее в сфере социальной защиты населения.
3.5 Состав и архитектура систем и сетей, в том числе интерфейсы и
взаимосвязи компонентов систем и сетей
3.5.1 Состав ИСПДн «Служба занятости населения»
Рисунок 1 – Схема архитектуры ИСПДн «Служба занятости населения»
3.5.2 ИС «Служба занятости населения» функционирует на базе

инфраструктуры государственного учреждения, функционирующего в сфере
социальной защиты населения.
3.6 Описание групп внешних и внутренних пользователей систем и
сетей, уровней их полномочий и типов доступа
3.6.1 ИСПДн «Служба занятости населения» является
многопользовательской системой с разграничением (доступ имеют только
определенные перечнем сотрудники организации, являющейся владельцем
ИСПДн, либо субъект ПДн).
3.7 Описание внешних интерфейсов и взаимодействий систем и
сетей с пользователями (в том числе посредством машинных носителей
информации, средств ввода-вывода, веб-приложений), иными системами и
сетями, обеспечивающими системами, в том числе с сетью «Интернет»
3.7.1 Доступ к системе «Служба занятости населения» сотрудниками
учреждения осуществляется при помощи АРМ, которые подключены в
общую ЛВС здания.
4 Возможные негативные последствия от реализации
(возникновения) угроз безопасности информации
4.1 В ходе оценки угроз безопасности информации определяются

негативные последствия, которые могут наступить от реализации
(возникновения) угроз безопасности информации.
4.2 Негативные последствия определяются применительно к
нарушению основных (критических) процессов (бизнес-процессов),
выполнение которых обеспечивает ИСПДн «Служба занятости населения», и
применительно к нарушению безопасности информации, содержащейся в ИС
«Служба занятости населения».
4.3 На основе анализа исходных данных ИСПДн «Служба занятости
населения» определены негативные последствия, которые приводят к видам
рисков (ущерба), представленные в таблице 2.
Т а б л и ц а 2 –– Виды рисков (ущерба) и негативные последствия

№ Виды Возможные типовые
риска (ущерба) негативные
последствия
У1 Ущерб физическому лицу Нарушение свободы, личной
неприкосновенности.
Нарушение иных прав и
свобод гражданина,
закрепленных в Конституции
Российской Федерации и
федеральных законах.
Нарушение
конфиденциальности (утечка)
персональных данных.
Разглашение персональных
данных граждан
У3 Ущерб государству в области Прекращение или нарушение
обеспечения обороны страны, функционирования
безопасности государства и государственного учреждения
правопорядка, а также в в части невыполнения
социальной, экономической, возложенной на него функции
политической, экологической (полномочия).
сферах деятельности Хищение денежных средств
со счета госучреждения
5 Возможные объекты воздействия угроз безопасности
информации

информационные ресурсы и компоненты ИСПДн «Служба занятости
населения», несанкционированный доступ к которым или воздействие на
которые в ходе реализации (возникновения) угроз безопасности информации
может привести к негативным последствиям, определенным в разделе 4
настоящей Модели угроз, – объектов воздействия.
5.2 Объекты воздействия определялись для реальной архитектуры и
условий функционирования ИСПДн «Служба занятости населения» на
основе анализа исходных данных.
5.3 В отношении каждого объекта воздействия определялись виды
воздействия на него, которые могут привести к негативным последствиям
(таблица 3).
Т а б л и ц а 3 – Объекты воздействия и виды воздействия

Негативные последствия Объекты воздействия Виды воздействия
Нарушение БД ИС, содержащая Утечка информации о
конфиденциальности информацию о гражданах гражданах из базы данных
(утечка) персональных
Сетевой трафик
данных (У1)
Разглашение персональных
данных граждан (У1) Сетевой узел
АРМ сотрудников Утечка информации с АРМ

учреждения сотрудника, НСД к
информации о гражданах,
находящейся в БД ИС
Общий файловый сервер Утечка информации о
гражданах, содержащейся
на общем файловом сервере
Хищение денежных средств АРМ бухгалтера Подмена данных,
со счета госучреждения содержащих реквизиты
(У3) платежных поручений и
Программное обеспечение, другой платежной
установленное на АРМ информации на АРМ
бухгалтера бухгалтера
Окончание таблицы 3
Прекращение или Общий файловый сервер Нарушение нормального
нарушение функционирования общего
функционирования файлового сервера
государственного
учреждения в части ЛВС учреждения Нарушение нормального
невыполнения возложенной функционирования ЛВС ИС
на него функции
(полномочия) (У3)
6 Источники угроз безопасности информации

возможные антропогенные источники угроз безопасности информации, к
которым относятся лица (группа лиц), осуществляющие(ая) реализацию
угроз безопасности информации путем несанкционированного доступа и
(или) воздействия на информационные ресурсы и (или) компоненты ИСПДн
«Служба занятости населения», – актуальные нарушители.
6.2 Нарушители признаются актуальными для систем и сетей, когда
возможные цели реализации ими угроз безопасности информации могут
привести к определенным для систем и сетей негативным последствиям и
соответствующим рискам (видам ущерба) (таблица 4).
Т а б л и ц а 4 – Актуальные нарушители для системы

Соответствие целей
видам риска
Категории (ущерба) и
Виды Возможные цели реализации угроз
нарушител возможным
нарушителя безопасности информации
я негативным
последствиям
Разработчики Внутренний Непреднамеренные, неосторожные или Хищение денежных

программных, неквалифицированные действия средств со счета
программно- госучреждения (У3)
аппаратных Разглашение
средств персональных данных
граждан (У1)
Лица, Внешний Получение финансовой или иной

обеспечивающие материальной выгоды.
поставку Непреднамеренные, неосторожные или
программных, неквалифицированные действия.
программно-
аппаратных,
-
обеспечивающих
систем
Поставщики Внутренний Получение финансовой или иной

вычислительных материальной выгоды.
услуг, услуг связи Непреднамеренные, неосторожные или
неквалифицированные действия. -
Получение конкурентных преимуществ
Окончание таблицы 4
Поставщики Внутренни Получение финансовой или иной
вычислительных
услуг, услуг связи
й материальной выгоды.
Непреднамеренные, неосторожные или
неквалифицированные действия.
-
Получение конкурентных преимуществ
Лица, Внутренни Получение финансовой или иной Разглашение
обеспечивающие й материальной выгоды. персональных данных
функционирование Непреднамеренные, неосторожные или граждан (У1)
систем и сетей или неквалифицированные действия Хищение денежных
обеспечивающие средств со счета
системы оператора госучреждения (У3)
(администрация,
охрана, и т.д)
Системные Внутренни Получение финансовой или иной Разглашение
администраторы и й материальной выгоды. персональных данных
администраторы Любопытство или желание самореализации граждан (У1)
безопасности (подтверждение статуса). Хищение денежных
Месть за ранее совершенные действия. средств со счета
Непреднамеренные, неосторожные или госучреждения (У3)
неквалифицированные действия
Прекращение или
нарушение
функционирования
государственного
учреждения в части
невыполнения
возложенной на него
функции
(полномочия) (У3)
Бывшие работники Внешний Получение финансовой или иной Разглашение

(пользователи) материальной выгоды. персональных данных
Месть за ранее совершенные действия граждан (У1)
Хищение денежных
средств со счета
госучреждения (У3)
6.3 Нарушители имеют разные уровни компетентности, оснащенности

ресурсами и мотивации для реализации угроз безопасности информации.
Совокупность данных характеристик определяет уровень возможностей
нарушителей по реализации угроз безопасности информации.
В зависимости от уровня возможностей нарушители подразделяются на
нарушителей, обладающих:
 базовыми возможностями по реализации угроз безопасности
информации (Н1);
 базовыми повышенными возможностями по реализации угроз
безопасности информации (Н2);
 средними возможностями по реализации угроз безопасности
информации (Н3);
 высокими возможностями по реализации угроз безопасности
информации (Н4).
Для одной системы или сети актуальными могут являться нарушители,
имеющие разные уровни возможностей.
6.3.1 Подробное описание уровней возможностей нарушителей по
реализации угроз безопасности информации приведено в Приложении № 1.
6.4 Для актуальных нарушителей должны быть определены их
категории в зависимости от имеющихся прав и условий по доступу,
обусловленных архитектурой и условиями функционирования этих систем и
сетей, а также от установленных возможностей нарушителей:
 внешние, не имеющие прав доступа в контролируемую
(охраняемую) зону (территорию) и (или) полномочий по доступу к
информационным ресурсам и компонентам систем и сетей, требующим
авторизации;
 внутренние, имеющие права доступа в контролируемую
(охраняемую) зону (территорию) и (или) полномочия по
автоматизированному доступу к информационным ресурсам и компонентам
систем сетей.
7 Способы реализации (возникновения) угроз безопасности

возможные способы реализации (возникновения) угроз безопасности
информации, за счет использования которых актуальными нарушителями
могут быть реализованы угрозы безопасности информации в ИСПДн
«Служба занятости населения», – актуальные способы реализации
(возникновения) угроз безопасности информации.
7.2 Основными способами реализации (СР) (возникновения) угроз
безопасности информации являются:
СР1) использование уязвимостей (уязвимостей кода (программного
обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а
также организационных и многофакторных уязвимостей);
СР2) внедрение вредоносного программного обеспечения;
СР3) использование недекларированных возможностей программного
обеспечения и (или) программно-аппаратных средств;
СР4) установка программных и (или) программно-аппаратных закладок
в программное обеспечение и (или) программно-аппаратные средства;
СР5) формирование и использование скрытых каналов (по времени, по
памяти) для передачи конфиденциальных данных;
СР6) перехват (измерение) побочных электромагнитных излучений и
наводок (других физических полей) для доступа к конфиденциальной
информации, содержащейся в аппаратных средствах аутентификации;
СР7) инвазивные способы доступа к конфиденциальной информации,
содержащейся в аппаратных средствах аутентификации;
СР8) нарушение безопасности при поставках программных,
программно-аппаратных средств и (или) услуг по установке, настройке,
испытаниям, пусконаладочным работам (в том числе администрированию,
обслуживанию);
СР9) ошибочные действия в ходе создания и эксплуатации систем и
сетей, в том числе при установке, настройке программных и программно-
аппаратных средств.
7.2.1 Способы реализации (возникновения) угроз безопасности
информации определяются применительно к объектам воздействия,
определенным в соответствии с настоящей Методикой. Способы являются
актуальными, когда возможности нарушителя позволяют их использовать
для реализации угроз безопасности и имеются или созданы условия, при
которых такая возможность может быть реализована в отношении объектов
воздействия. Одна угроза безопасности информации может быть реализована
несколькими способами.
7.3 Условием, позволяющим нарушителям использовать способы
реализации угроз безопасности информации, является наличие у них
возможности доступа к следующим типам интерфейсов объектов
воздействия:
внешние сетевые интерфейсы, обеспечивающие взаимодействие с
сетью «Интернет», смежными (взаимодействующими) системами или сетями
(проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного
доступа и др.);
внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в
том числе через промежуточные компоненты) с компонентами систем и
сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные);
интерфейсы для пользователей (проводные, беспроводные, веб-
интерфейсы, интерфейсы удаленного доступа и др.);
интерфейсы для использования съемных машинных носителей
информации и периферийного оборудования;
интерфейсы для установки, настройки, испытаний, пусконаладочных
работ (в том числе администрирования, управления, обслуживания)
обеспечения функционирования компонентов систем и сетей;
возможность доступа к поставляемым или находящимся на
обслуживании, ремонте в сторонних организациях компонентам систем и
сетей.
7.4 Определения актуальных способов реализации угроз безопасности
информации и соответствующие им виды нарушителей и их возможности
приведены в таблице 5.
Т а б л и ц а 5 – Определение актуальных способов реализации угроз безопасности информации и соответствующие им виды
нарушителей и их возможности
Способы
Категория
Вид нарушителя Объекты воздействия Доступные интерфейсы реализации
нарушителя
(идентификатор)
Отдельные физические лица Удаленное Доступ через локальную вычислительную Внедрение
(хакеры) (Н2) автоматизированное сеть организации вредоносного
рабочее место (АРМ) программного
пользователя: обеспечения
несанкционированный
доступ к операционной Съемные машинные носители Использование
Внешний системе АРМ пользователя; информации, подключаемые к АРМ уязвимостей
нарушение пользователя конфигурации
конфиденциальности системы управления
информации, содержащейся доступом к АРМ
на АРМ пользователя пользователя
Авторизованные пользователи АРМ главного бухгалтера Локальная вычислительная сеть Ошибочные

систем и сетей (Н1) организации: модификация организации действия в ходе
платежных поручений, настройки АРМ
Внутренний хранящихся на АРМ главного бухгалтера
главного бухгалтера
8 Оценка актуальности угроз безопасности информации

возможные угрозы безопасности информации и производится их оценка на
актуальность для ИСПДн «Служба занятости населения» – актуальные угрозы
безопасности информации.
8.2 Процесс определения актуальных угроз безопасности информации
включал:
8.2.1 Выделение из исходного перечня угроз безопасности информации
возможных угроз по следующему принципу: угроза безопасности информации
признается возможной, если имеются нарушитель или иной источник угрозы,
объект, на который осуществляется воздействие, способ реализации угрозы
безопасности информации, и реализация угрозы может привести к негативным
последствиям:
УБИi = [нарушитель (источник угрозы); объекты воздействия; способы
реализации угрозы; негативные последствия]
В качестве исходного перечня угроз безопасности информации использовался
банк данных угроз безопасности информации, сформированный ФСТЭК России
(http://bdu.fstec.ru/).
8.2.2 Оценку возможных угроз на предмет актуальности по следующему
принципу: угроза признается актуальной, если имеется хотя бы один сценарий
реализации угрозы безопасности информации.
Сценарии определяются для соответствующих способов реализации угроз
Определение сценариев предусматривает установление последовательности
возможных тактик и соответствующих им техник, применение которых возможно
актуальным нарушителем с соответствующим уровнем возможностей, а также
доступности интерфейсов для использования соответствующих способов
реализации угроз безопасности информации.
Перечень основных тактик и соответствующих им типовых техник,
используемых для построения сценариев реализации угроз безопасности
информации представлен в Приложении № 2.
8.3 По результатам оценки возможных угроз безопасности отобрано 40
актуальных и 10 неактуальных угроз. Итоговый перечень угроз безопасности
информации представлен в таблице 6.
Т а б л и ц а 6 - Итоговый перечень угроз безопасности информации
угрозыИдентификатор
Источник
угрозы
Описание и способ реализации Объект Актуальность
Наименование УБИ (характеристик Примечание
угрозы воздействия угрозы
а и потенциал
нарушителя)
Перечень угроз из банка данных угроз безопасности информации bdu.fstec.ru

УБИ. Угроза Угроза заключается в Внутренний Ресурсные центры неактуальная Грид-системы
001 автоматического возможности внедрения и нарушитель со грид-системы не применяются
распространения запуска вредоносного кода от средним в ИСПДн
вредоносного кода в имени доверенного процесса потенциалом
грид-системе на любом из ресурсных Внешний
центров грид-системы и его нарушитель со
автоматического средним
распространения на все узлы потенциалом
грид-системы.
Данная угроза обусловлена
слабостями технологии грид-
вычислений – высоким
уровнем автоматизации при
малой администрируемости
грид-системы.
Реализация данной угрозы
возможна при условии
наличия у нарушителя
привилегий легального
пользователя грид-системы
УБИ. Угроза Угроза заключается в Внешний Объекты файловой неактуальная В ИСПДн не
101 общедоступности возможности осуществления нарушитель со системы, используется
облачной несанкционированного средним аппаратное облачный
инфраструктуры доступа к защищаемой потенциалом обеспечение, сервер
информации одного облачный сервер
потребителя облачных услуг
со стороны другого.
тем, что из-за особенностей
облачных технологий
потребителям облачных
услуг приходится совместно
использовать одну и ту же
облачную инфраструктуру.
возможна в случае
допущения ошибок при
разделении элементов
облачной инфраструктуры
между потребителями
облачных услуг, а также при
изоляции их ресурсов и
обособлении данных друг от
друга
УБИ. Угроза выхода Угроза заключается в Внутренний Информационная неактуальная В ИСПДн не
010 процесса за пределы возможности запуска нарушитель со система, сетевой используются
виртуальной машины вредоносной программой средним узел, носитель средства
собственного гипервизора, потенциалом информации, виртуализации
функционирующего по Внешний объекты файловой
уровню логического нарушитель со системы, учётные
взаимодействия ниже средним данные
компрометируемого потенциалом пользователя,
гипервизора. образ виртуальной
Данная угроза обусловлена машины
уязвимостями программного
обеспечения гипервизора,
реализующего функцию
изолированной программной
среды для
функционирующих в ней
программ, а также
слабостями инструкций
аппаратной поддержки
виртуализации на уровне
процессора.
приводит не только к
компрометации гипервизора,
но и запущенных в созданной
им виртуальной среде
средств защиты, а,
следовательно, к их
неспособности выполнять
функции безопасности в
отношении вредоносных
программ,
функционирующих под
управлением собственного
гипервизора
УБИ. Угроза Угроза заключается в Внутренний Облачная система, неактуальная Облачные
020 злоупотребления возможности осуществления нарушитель с виртуальная технологии не
возможностями, потребителем облачных низким машина применяются в
предоставленными услуг (нарушителем) потенциалом ИСПДн
потребителям рассылки спама,
облачных услуг несанкционированного
доступа к виртуальным
машинам других
потребителей облачных услуг
или осуществления других
деструктивных программных
воздействий на различные
системы с помощью
арендованных ресурсов
облачного сервера.
тем, что потребитель
облачных услуг может
устанавливать собственное
программное обеспечение на
облачный сервер.
возможна путём установки и
запуска потребителем
облачных услуг вредоносного
программного обеспечения
на облачный сервер.
Успешная реализация данной
угрозы потребителем
облачных услуг оказывает
негативное влияние на
репутацию поставщика
облачных услуг
УБИ. Угроза Угроза заключается в Внешний Облачная система неактуальная Облачные

021 злоупотребления возможности нарушения нарушитель с технологии не
доверием (случайно или намеренно) низким применяются в
потребителей защищённости информации потенциалом ИСПДн
облачных услуг потребителей облачных услуг
внутренними нарушителями
поставщика облачных услуг.
тем, что значительная часть
функций безопасности
переведена в сферу
ответственности поставщика
облачных услуг, а также
невозможностью принятия
потребителем облачных
услуг мер защиты от
действий сотрудников
поставщика облачных услуг.
возможна при условии того,
что потребители облачных
услуг не входят в состав
организации,
осуществляющей оказание
данных облачных услуг (т.е.
потребитель действительно
передал поставщику
собственную информацию
для осуществления её
обработки)
УБИ. Угроза использования Угроза заключается в Внутренний Вычислительные неактуальная В ИСПДн не
029 вычислительных возможности существенного нарушитель с узлы используется
ресурсов снижения низким суперкомпьютера суперкомпьюте
суперкомпьютера производительности потенциалом р
«паразитными» вычислительного поля Внешний
процессами суперкомпьютера и нарушитель с
эффективности выполнения низким
на нём текущих потенциалом
параллельных вычислений
из-за потребления
вычислительных ресурсов
суперкомпьютера
«паразитными» процессами
(«процессами-потомками»
предыдущих заданий или
процессами, запущенными
вредоносным программным
обеспечением).
слабостями мер очистки
памяти от «процессов-
потомков» завершённых
заданий, а также процессов,
запущенных вредоносным
программным обеспечением.
некорректного завершения
выполненных задач или
наличия вредоносных
процессов в памяти
суперкомпьютера в активном
состоянии
УБИ. Угроза исчерпания Угроза заключается в Внутренний Информационная неактуальная Хранилище
038 вычислительных возможности временного нарушитель с система больших
ресурсов хранилища возникновения состояния низким данных не
больших данных типа «отказ в обслуживании» потенциалом используется в
у хранилища больших ИСПДн
данных.
постоянным трудно
контролируемым
заполнением занятого
дискового пространства за
счёт данных, непрерывно
поступающих из различных
информационных
источников, и слабостями
технологий доступа и
хранения информации в
хранилищах больших
данных.
мгновенного (текущего)
превышения скорости
передачи данных над
скоростью их сохранения (в
силу недостаточности
пропускной способности
канала связи или скорости
выделения свободного
пространства и сохранения на
него поступающих данных)
или при условии временного
отсутствия свободного места
в хранилище (в силу
некорректного управления
хранилищем или в результате
осуществления нарушителем
деструктивного
программного воздействия на
механизм контроля за
заполнением хранилища
путём изменения параметров
или логики его работы)
УБИ. Угроза нарушения Угроза заключается в Внутренний Облачная система, неактуальная В ИСПДн не
043 доступности возможности прекращения нарушитель с облачный сервер используются
облачного сервера оказания облачных услуг низким облачные
всем потребителям (или потенциалом системы
группе потребителей) из-за Внешний
нарушения доступности для нарушитель с
них облачной низким
инфраструктуры. потенциалом
тем, что обеспечение
доступности не является
специфичным требованием
безопасности информации
для облачных технологий, и,
кроме того, облачные
системы реализованы в
соответствии с сервис-
ориентированным подходом.
возможна при переходе
одного или нескольких
облачных серверов в
состояние «отказ в
обслуживании». Более того,
способность динамически
изменять объём
предоставляемых
потребителям облачных
услуг может быть
использована нарушителем
для реализации угрозы. При
этом успешно реализованная
угроза в отношении всего
лишь одного облачного
сервиса позволит нарушить
доступность всей облачной
системы
УБИ. Угроза Угроза заключается в Внутренний Облачная система, неактуальная В ИСПДн не
055 незащищённого возможности осуществления нарушитель с рабочая станция, используются
администрирования опосредованного низким сетевое облачные
облачных услуг деструктивного потенциалом программное системы
программного воздействия на Внешний обеспечение
часть или все нарушитель с
информационные системы, низким
функционирующие в потенциалом
облачной среде, путём
перехвата управления над
облачной инфраструктурой
через механизмы удалённого
администрирования.
недостаточностью внимания,
уделяемого контролю
вводимых пользователями
облачных услуг данных (в
том числе
аутентификационных
данных), а также
уязвимостями небезопасных
интерфейсов обмена
данными (API),
используемых средствами
удалённого
администрирования.
возможна в случае получения
нарушителем
аутентификационной
информации (при их вводе в
общественных местах)
легальных пользователей,
или эксплуатации
уязвимостей в средствах
администрирования
УБИ. Угроза Угроза заключается в Внутренний Хранилище неактуальная В ИСПДн не
057 неконтролируемого сложности контроля за всеми нарушитель с больших данных, используются
копирования данных автоматически создаваемыми низким метаданные, большие
внутри хранилища копиями информации в потенциалом защищаемые хранилища
больших данных хранилище больших данных данные данных
из-за временной
несогласованности данных
операций.
осуществлением
дублирования (дву- или
многократного) данных на
различных вычислительных
узлах, входящих в состав
хранилища больших данных,
с целью повышения скорости
доступа к этим данным при
большом количестве
запросов чтения/записи. При
этом данная операция
является внутренней
функцией и «непрозрачна»
для конечных пользователей
и администраторов
хранилища больших данных.
недостаточности мер по
контролю за автоматически
создаваемыми копиями
информации, применяемых в
хранилище больших данных
УБИ. Угроза доступа к Угроза заключается в Внутренний Объекты файловой актуальная
015 защищаемым файлам возможности получения нарушитель с системы
с использованием нарушителем доступа к низким
обходного пути скрытым/защищаемым потенциалом
каталогам или файлам Внешний
посредством различных нарушитель с
воздействий на файловую низким
систему (добавление потенциалом
дополнительных символов в
указании пути к файлу;
обращение к файлам,
которые явно не указаны в
окне приложения).
слабостями механизма
разграничения доступа к
объектам файловой системы.
возможна при условиях:
наличие у нарушителя прав
доступа к некоторым
объектам файловой системы;
отсутствие проверки
вводимых пользователем
данных;
наличие у
дискредитируемой
программы слишком высоких
привилегий доступа к
файлам, обработка которых
не предполагается с её
помощью к сетевому
трафику.
УБИ. Угроза избыточного Угроза заключается в Внутренний Аппаратное актуальная
022 выделения возможности выделения нарушитель с обеспечение,
оперативной памяти значительных ресурсов низким системное
оперативной памяти для потенциалом программное
обслуживания запросов Внешний обеспечение,
вредоносных программ и нарушитель с сетевое
соответственного снижения низким программное
объёма ресурсов оперативной потенциалом обеспечение
памяти, доступных в системе
для выделения в ответ на
запросы программ легальных
пользователей.
наличием слабостей
механизма контроля
выделения оперативной
памяти различным
программам.
нахождения вредоносного
программного обеспечения в
системе в активном
состоянии виде.
УБИ. Угроза изменения Угроза заключается в Внутренний Информационная актуальная
023 компонентов возможности получения нарушитель с система, сервер,
информационной нарушителем доступа к сети, низким рабочая станция,
(автоматизированной) файлам, внедрения закладок потенциалом виртуальная
системы и т.п. путём машина, системное
несанкционированного программное
изменения состава обеспечение,
программных или прикладное
аппаратных средств программное
информационной системы, обеспечение,
что в дальнейшем позволит аппаратное
осуществлять данному обеспечение
нарушителю (или другому -
внешнему, обнаружившему
несанкционированный канал
доступа в систему)
несанкционированные
действия в данной системе.
слабостями мер контроля за
целостностью аппаратной
конфигурации
информационной системы.
успешного получения
нарушителем необходимых
полномочий в системе и
возможности подключения
дополнительного
периферийного оборудования
УБИ. Угроза изменения Угроза заключается в Внутренний Микропрограммно актуальная
024 режимов работы возможности изменения нарушитель с е и аппаратное
аппаратных элементов нарушителем режимов высоким обеспечение
компьютера работы аппаратных потенциалом BIOS/UEFI
элементов компьютера путём
несанкционированного
переконфигурирования
BIOS/UEFI, что позволяет:
за счёт изменения частоты
системной шины, режима
передачи данных по каналам
связи и т.п. повлиять на
общую производительность
компьютера или вызвать сбои
в его работе;
за счёт понижения
входного напряжения,
отключения систем
охлаждения временно
обеспечить
неработоспособность
компьютера;
за счёт задания
недопустимых параметров
работы устройств
(порогового значения
отключения устройства при
перегреве, входного
напряжения и т.п.) привести к
физическому выходу из строя
отдельных аппаратных
элементов компьютера.
слабостями технологий
управлению BIOS/UEFI.
привилегий на изменение
соответствующих параметров
настройки BIOS/UEFI
УБИ. Угроза изменения Угроза заключается в Внутренний Системное актуальная

025 системных и возможности осуществления нарушитель со программное
глобальных нарушителем средним обеспечение,
переменных опосредованного потенциалом прикладное
деструктивного программное
программного воздействия на обеспечение,
некоторые программы или сетевое
систему в целом путём программное
изменения используемых обеспечение
дискредитируемыми
программами единых
системных и глобальных
переменных.
контроля доступа к
разделяемой памяти, а также
уязвимостями программных
модулей приложений,
реализующих контроль
целостности внешних
переменных.
возможна при условиях
осуществления нарушителем
успешного
доступа к системным и
глобальным переменным и
отсутствии проверки
целостности их значений со
стороны дискредитируемого
приложения
УБИ. Угроза искажения Угроза заключается в Внутренний Системное актуальная
027 вводимой и возможности нарушитель с программное
выводимой на дезинформирования низким обеспечение,
периферийные пользователей или потенциалом прикладное
устройства автоматических систем Внешний программное
информации управления путём подмены нарушитель с обеспечение,
или искажения исходных высоким сетевое
данных, поступающих от потенциалом программное
датчиков, клавиатуры или обеспечение,
других устройств ввода аппаратное
информации, а также обеспечение
подмены или искажения
информации, выводимой на
принтер, дисплей оператора
или на другие периферийные
устройства.
слабостями мер
антивирусной защиты и
контроля достоверности
входных и выходных данных,
а также ошибками,
допущенными в ходе
проведения специальных
проверок аппаратных средств
вычислительной техники.
наличия в дискредитируемой
информационной системе
вредоносного программного
обеспечения (например,
виртуальных драйверов
устройств) или аппаратных
закладок
УБИ. Угроза использования Угроза заключается в Внутренний Сетевой узел, актуальная
028 альтернативных путей возможности осуществления нарушитель с объекты файловой
доступа к ресурсам нарушителем низким системы,
несанкционированного потенциалом прикладное
доступа к защищаемой Внешний программное
информации в обход нарушитель с обеспечение,
штатных механизмов с низким системное
помощью нестандартных потенциалом программное
интерфейсов (в том числе обеспечение
доступа через командную
строку в обход графического
интерфейса).
защищаемой информации,
слабостями фильтрации
входных данных.
наличия у нарушителя:
возможности ввода
произвольных данных в
адресную строку;
сведений о пути к
защищаемому ресурсу;
возможности изменения
интерфейса ввода входных
данных темы (при локальном
доступе).
УБИ. Угроза использования Угроза заключается в Внутренний Системное актуальная
033 слабостей возможности осуществления нарушитель со программное
кодирования входных нарушителем деструктивного средним обеспечение,
данных информационного потенциалом прикладное
воздействия на Внешний программное
дискредитируемую систему нарушитель со обеспечение,
путём манипулирования средним сетевое
значениями входных данных потенциалом программное
и формой их предоставления обеспечение,
(альтернативные кодировки, микропрограммное
некорректное расширение обеспечение,
файлов и т.п.). реестр
контроля входных данных.
дискредитируемая система
принимает входные данные
от нарушителя;
нарушитель обладает
возможностью управления
одним или несколькими
параметрами входных
данных
УБИ. Угроза исследования Угроза заключается в Внутренний Системное актуальная
036 механизмов работы возможности проведения нарушитель со программное
программы нарушителем обратного средним обеспечение,
инжиниринга кода потенциалом прикладное
программы и дальнейшего Внешний программное
исследования его структуры, нарушитель со обеспечение,
функционала и состава в средним сетевое
интересах определения потенциалом программное
алгоритма работы программы обеспечение,
и поиска в ней уязвимостей. микропрограммное
Данная угроза обусловлена обеспечение
защиты кода программы от
исследования.
возможна в случаях:
доступа к исходным файлам
программы;
доступа к дистрибутиву
программы и отсутствия
механизма защиты кода
программы от исследования
УБИ. Угроза Угроза заключается в Внутренний Рабочая станция, актуальная
051 невозможности возможности потери нарушитель с носитель
восстановления несохранённых данных, низким информации,
сессии работы на обрабатываемых в потенциалом системное
ПЭВМ при выводе из предыдущей сессии работы программное
промежуточных на компьютере, а также в обеспечение,
состояний питания возможности потери времени метаданные,
для возобновления работы на объекты файловой
компьютере. системы, реестр
ошибками в реализации
программно-аппаратных
компонентов компьютера,
связанных с обеспечением
питания.
невозможности выведения
компьютера из
промежуточных состояний
питания («ждущего режима
работы», «гибернации» и др.)
УБИ. Угроза Угроза заключается в ВнеС Внутренний актуальная

067 неправомерного возможности неправомерного ВнуС нарушитель с
ознакомления с случайного или низким
защищаемой преднамеренного потенциалом
информацией ознакомления пользователя с
информацией, которая для
него не предназначена, и
дальнейшего её
использования для
достижения своих или
заданных ему другими
лицами (организациями)
деструктивных целей.
уязвимостями средств
контроля доступа, ошибками
в параметрах конфигурации
данных средств или
отсутствием указанных
средств.
не подразумевает установку и
использование нарушителем
специального вредоносного
программного обеспечения.
При этом ознакомление
может быть проведено путём
просмотра информации с
экранов мониторов других
пользователей, с
отпечатанных документов,
путём подслушивания
разговоров и др.
УБИ. Угроза Угроза заключается в Внутренний Машинный актуальная
071 несанкционированног возможности осуществления нарушитель с носитель
о восстановления прямого доступа (доступа с низким информации
удалённой уровней архитектуры более потенциалом
защищаемой низких по отношению к Внешний
информации уровню операционной нарушитель с
системы) к данным, низким
хранящимся на машинном потенциалом
носителе информации, или
восстановления данных по
считанной с машинного
носителя остаточной
удаления информации с
машинных носителей –
информация, удалённая с
машинного носителя, в
большинстве случаев может
быть восстановлена.
возможна при следующих
условиях:
удаление информации с
машинного носителя
происходило без
использования способов
(методов, алгоритмов)
гарантированного стирания
данных (например,
физическое уничтожение
машинного носителя
информации);
технологические
особенности машинного
носителя информации не
приводят к гарантированному
уничтожению информации
при получении команды на
стирание данных;
информация не хранилась в
криптографически
преобразованном виде
УБИ. Угроза подбора Угроза заключается в Внутренний Микропрограммно актуальная
123 пароля BIOS возможности осуществления нарушитель с е обеспечение
нарушителем низким BIOS/UEFI
несанкционированного потенциалом
доступа к настройкам
BIOS/UEFI путём входа в
консоль BIOS/UEFI по
паролю, подобранному
программно или «вручную» с
помощью методов тотального
перебора вариантов или
подбора по словарю.
аутентификации,
реализуемого в консолях
BIOS/UEFI.
возможна в одном из
следующих случаев:
‒ нарушитель может осуществить
физический доступ к компьютеру и
имеет возможность его
перезагрузить;
нарушитель обладает
специальным программным
средством перебора паролей
BIOS/UEFI и привилегиями в
системе на установку и
запуск таких средств.
УБИ. Угроза повреждения Угроза заключается в Внутренний Объекты файловой актуальная
121 системного реестра возможности нарушения нарушитель с системы, реестр
доступности части низким
функционала или всей потенциалом
информационной системы из- Внешний
за повреждения нарушитель с
используемого в её работе низким
реестра вследствие потенциалом
некорректного завершения
работы операционной
системы (неконтролируемая
перезагрузка, возникновения
ошибок в работе драйверов
устройств и т.п.), нарушения
целостности файлов,
содержащих в себе данные
реестра, возникновения
ошибок файловой системы
носителя информации или
вследствие осуществления
нарушителем деструктивного
программного воздействия на
файловые объекты,
содержащие реестр.
слабостями мер контроля
доступа к файлам,
содержащим данные реестра,
мер резервирования и
контроля целостности таких
файлов, а также мер
восстановления
работоспособности реестра
из-за сбоев в работе
операционной системы.
возможна при одном из
условий:
возникновения ошибок в
работе отдельных процессов
или всей операционной
системы;
наличии у нарушителя прав
доступа к реестру или
файлам, содержащим в себе
данные реестра
УБИ. Угроза повышения Угроза заключается в Внутренний Системное актуальная
122 привилегий возможности осуществления нарушитель со программное
нарушителем деструктивного средним обеспечение,
программного воздействия на потенциалом сетевое
дискредитируемый процесс Внешний программное
(или систему) или на другие нарушитель со обеспечение,
процессы (или системы) от средним информационная
его (её) имени путём потенциалом система
эксплуатации неправомерно
полученных нарушителем
дополнительных прав на
управление
дискредитированным
объектом.
уязвимостями программного
обеспечения, выполняющего
функции разграничения
доступа (в алгоритме или
параметрах конфигурации).
возможна при наличии у
нарушителя программного
обеспечения (типа
«эксплойт»), специально
разработанного для
реализации данной угрозы в
дискредитируемой системе
УБИ. Угроза подмены Угроза заключается в Внешний Прикладное актуальная
127 действия возможности нарушителя нарушитель со программное
пользователя путём выполнения неправомерных средним обеспечение,
обмана действий в системе от имени потенциалом сетевое
другого пользователя с программное
помощью методов обеспечение
социальной инженерии
(обмана пользователя,
навязывание ложных
убеждений) или технических
методов (использование
прозрачных кнопок, подмена
надписей на элементах
управления и др.).
слабостями интерфейса
взаимодействия с
пользователем или ошибками
пользователя.
наличия у дискредитируемого
пользователя прав на
проведение нужных от него
нарушителю операций.
УБИ. Угроза подмены Угроза заключается в Внешний Сетевой узел, актуальная
128 доверенного возможности нарушителя нарушитель с сетевое
пользователя выдавать себя за легитимного низким программное
пользователя и выполнять потенциалом обеспечение
приём/передачу данных от
его имени. Данную угрозу
можно охарактеризовать как
«имитация действий
клиента».
сетевого взаимодействия,
зачастую не позволяющими
выполнить проверку
подлинности
источника/получателя
нарушителя подключения к
вычислительной сети, а также
сведений о конфигурации
сетевых устройств, типе
используемого программного
обеспечения и т.п.
УБИ. Угроза преодоления Угроза заключается в Внешний Сервер, рабочая актуальная
139 физической защиты возможности осуществления нарушитель со станция, носитель
нарушителем практически средним информации,
любых деструктивных потенциалом аппаратное
действий в отношении обеспечение
дискредитируемой
информационной системы
при получении им
физического доступа к
аппаратным средствам
вычислительной техники
системы путём преодоления
системы контроля
физического доступа,
организованной в здании
предприятия.
уязвимостями в системе
контроля физического
доступа (отсутствием замков
в помещении, ошибками
персонала и т.п.).
успешного применения
нарушителем любого из
методов проникновения на
объект (обман персонала,
взлом замков и др.)
УБИ. Угроза программного Угроза заключается в Внутренний Носитель актуальная
143 выведения из строя возможности прерывания нарушитель со информации,
средств хранения, нарушителем технологии средним микропрограммное
обработки и (или) обработки информации в потенциалом обеспечение,
ввода/вывода/передач дискредитируемой системе Внешний аппаратное
и информации путём осуществления нарушитель со обеспечение,
деструктивного средним телекоммуникацио
программного (локально или потенциалом нное устройство
удалённо) воздействия на
средства хранения (внешних,
съёмных и внутренних
накопителей), обработки
(процессора, контроллера
устройств и т.п.) и (или)
ввода/вывода/передачи
информации (клавиатуры и
др.), в результате которого
объект защиты перейдёт в
состояние «отказ в
обслуживании». При этом
вывод его из этого состояния
может быть невозможен
путём перезагрузки системы,
а потребует проведения
ремонтно-восстановительных
работ.
наличием уязвимостей
микропрограммного
обеспечения средств
хранения, обработки и (или)
информации, а также
невозможности длительного
нахождения средств
хранения, обработки и (или)
информации в режиме
предельно допустимых
значений (частота системной
шины, центрального
процессора, количества
обращений на чтение и/или
запись и другие параметры).
нарушителя прав на отправку
команды или специально
сформированных входных
данных на средства хранения,
обработки и (или)
УБИ. Угроза сбоя процесса Угроза заключается в Внутренний Микропрограммно актуальная
150 обновления BIOS возможности выведения из нарушитель со е и аппаратное
строя компьютера из-за средним обеспечение
внесения критических потенциалом BIOS/UEFI, каналы
ошибок в программное связи
обеспечение BIOS/UEFI в
результате нарушения
процесса его обновления.
контроля за обновлением
программного обеспечения
BIOS/UEFI.
возможна в ходе проведения
ремонта и обслуживания
компьютера как при
установке
корректной/совместимой
версии обновления (из-за
сбоев, помех и т.п.), так и при
установке
повреждённой/несовместимо
й версии обновления (из-за
отсутствия механизма
проверки целостности и
совместимости)
УБИ. Угроза физического Угроза заключается в Внешний Сервер, рабочая актуальная
157 выведения из строя возможности умышленного нарушитель с станция, носитель
средств хранения, выведения из строя внешним низким информации,
обработки и (или) нарушителем средств потенциалом аппаратное
ввода/вывода/передач хранения, обработки и (или) обеспечение
и информации ввода/вывода/передачи
информации, что может
привести к нарушению
доступности, а в некоторых
случаях и целостности
защищаемой информации.
средствам хранения,
получения нарушителем
носителям информации
(внешним, съёмным и
внутренним накопителям),
средствам обработки
информации (процессору,
контроллерам устройств и
т.п.) и средствам
ввода/вывода информации
(клавиатура и т.п.)
УБИ. Угроза Угроза заключается в Внутренний Носитель актуальная
158 форматирования возможности утраты нарушитель с информации
носителей хранящейся на низким
информации форматируемом носителе потенциалом
информации, зачастую без Внешний
возможности её нарушитель с
восстановления, из-за низким
преднамеренного или потенциалом
случайного выполнения
процедуры форматирования
носителя информации.
слабостью мер ограничения
доступа к системной функции
форматирования носителей
На реализацию данной
угрозы влияют такие факторы
как:
время, прошедшее после
форматирования;
тип носителя информации;
тип файловой системы
носителя;
интенсивность
взаимодействия с носителем
после форматирования и др.
УБИ. Угроза утраты Угроза заключается в Внутренний Носитель актуальная
156 носителей возможности раскрытия нарушитель с информации
информации информации, хранящейся на низким
утерянном носителе (в случае потенциалом
отсутствия шифрования
данных), или её потери (в
случае отсутствия резервной
копий данных).
слабостями мер регистрации
и учёта носителей
информации, а также мер
резервирования защищаемых
данных.
возможна вследствие
халатности сотрудников.
УБИ. Угроза хищения Угроза заключается в Внешний Сервер, рабочая актуальная
160 средств хранения, возможности осуществления нарушитель с станция, носитель
обработки и (или) внешним нарушителем кражи низким информации,
ввода/вывода/передач компьютера (и потенциалом аппаратное
и информации подключённых к нему обеспечение
устройств), USB-
накопителей, оптических
дисков или других средств
хранения, обработки,
средствам хранения,
носителям информации
(внешним, съёмным и
внутренним накопителям),
средствам обработки
информации (процессору,
контроллерам устройств и
т.п.) и средствам
ввода/вывода информации
(клавиатура и т.п.).
УБИ. Угроза заражения Угроза заключается в Внутренний Сетевой узел, актуальная
167 компьютера при возможности нарушения нарушитель с сетевое
посещении безопасности защищаемой низким программное
неблагонадёжных информации вредоносными потенциалом обеспечение
сайтов программами, скрытно
устанавливаемыми при
посещении пользователями
системы с рабочих мест
(намеренно или при
случайном перенаправлении)
сайтов с неблагонадёжным
содержимым и запускаемыми
с привилегиями
дискредитированных
пользователей.
слабостями механизмов
фильтрации сетевого трафика
и антивирусного контроля на
уровне организации.
посещения пользователями
сайтов с неблагонадёжным
содержимым.
УБИ. Угроза включения в Угроза заключается в Внутренний Программное актуальная
165 проект не достоверно возможности нарушения нарушитель со обеспечение,
испытанных безопасности защищаемой средним техническое
компонентов информации вследствие потенциалом средство,
выбора для применения в информационная
системе компонентов не в система, ключевая
соответствии с их заданными система
проектировщиком информационной
функциональными инфраструктуры
характеристиками,
надёжностью, наличием
сертификатов и др.
недостаточностью мер по
контролю за ошибками в ходе
проектирования систем,
связанных с безопасностью.
выбора для применения в
системе компонентов по цене,
разрекламированности и др.
УБИ. Угроза скрытного Угроза заключается в Внешний Сетевой узел, актуальная

171 включения возможности нарушитель с сетевое
вычислительного опосредованного низким программное
устройства в состав осуществления нарушителем потенциалом обеспечение
бот-сети деструктивного воздействия
на информационные системы
с множества вычислительных
устройств (компьютеров,
мобильных технических
средств и др.), подключённых
к сети Интернет, за счёт
захвата управления такими
устройствам путём
несанкционированной
установки на них:
вредоносного ПО типа
Backdoor для обеспечения
нарушителя возможностью
доступа/управления
дискредитируемым
вычислительным
устройством;
клиентского ПО для
включения в ботнет и
использования созданного
таким образом ботнета в
различных противоправных
целях (рассылка спама,
проведение атак типа «отказ в
обслуживании» и др.).
уязвимостями в сетевом
программном обеспечении и
антивирусного контроля и
межсетевого экранирования.
наличия выхода с
дискредитируемого
вычислительного устройства
в сеть Интернет
УБИ. Угроза «фарминга» Угроза заключается в Внешний Рабочая станция, актуальная
174 возможности неправомерного нарушитель с сетевое
ознакомления нарушителем с низким программное
защищаемой информацией (в потенциалом обеспечение,
т.ч. сетевой трафик
идентификации/аутентификац
ии) пользователя путём
скрытного перенаправления
пользователя на поддельный
сайт (выглядящий одинаково
с оригинальным), на котором
от дискредитируемого
пользователя требуется
ввести защищаемую
информацию.
уязвимостями DNS-сервера,
маршрутизатора.
наличия у нарушителя:
‒ сведений о конкретных сайтах,
посещаемых пользователем, на
которых требуется ввод защищаемой
информации;
‒ средств создания и запуска
поддельного сайта;
‒ специальных программных
средств типа «эксплойт»,
реализующих перенаправление
пользователя на поддельный сайт.
Кроме того, угрозе данного
типа подвержены подлинные
сайты, не требующие
установления безопасного
соединения перед вводом
информации ограниченного
доступа.
УБИ. Угроза Угроза заключается в Внутренний Системное актуальная
178 несанкционированног возможности осуществления нарушитель с программное
о использования нарушителем деструктивного низким обеспечение
системных и сетевых программного воздействия на потенциалом
утилит систему за счёт Внешний
использования имеющихся нарушитель с
или предварительно низким
внедрённых стандартных потенциалом
(известных и обычно не
определяемых
антивирусными программами
как вредоносных) системных
и сетевых утилит,
предназначенных для
использования
администратором для
диагностики и обслуживания
системы (сети).
‒ наличие в системе стандартных
системных и сетевых утилит или
успешное их внедрение
нарушителем в систему и сокрытие
(с использованием существующих
архивов, атрибутов «скрытый» или
«только для чтения» и др.);
наличие у нарушителя
привилегий на запуск таких
утилит.
УБИ. Угроза Угроза заключается в Внутренний Объекты файловой актуальная
179 несанкционированной возможности нарушения нарушитель с системы
модификации целостности защищаемой низким
защищаемой информации путём потенциалом
информации осуществления нарушителем Внешний
деструктивного физического нарушитель с
воздействия на машинный низким
носитель информации или потенциалом
деструктивного
программного воздействия (в
т.ч. изменение отдельных бит
или полное затирание
информации) на данные,
хранящиеся на нём.
возможна в случае получения
нарушителем системных прав
на запись данных или
машинному носителю
информации на расстояние,
достаточное для оказания
эффективного
деструктивного воздействия.
УБИ. Угроза Угроза заключается в Внутренний Средство защиты актуальная
185 несанкционированног возможности осуществления нарушитель с информации
о изменения нарушителем низким
параметров настройки несанкционированного потенциалом
средств защиты изменения параметров Внешний
информации настройки средства защиты нарушитель с
информации. низким
Данная угроза обусловлена потенциалом
конфигурационным файлам
средства защиты
получения нарушителем прав
доступа к программному
интерфейсу управления
средством защиты
информации, а также при
наличии у нарушителя
сведений о структуре и
формате файлов
конфигурации средства
защиты информации.
УБИ. Угроза внедрения Угроза заключается в Внутренний Сетевое актуальная
186 вредоносного кода возможности внедрения нарушитель с программное
через рекламу, нарушителем в низким обеспечение
сервисы и контент информационную систему потенциалом
вредоносного кода
посредством рекламы,
сервисов и (или) контента
(т.е. убеждения пользователя
системы активировать
ссылку, код и др.) при
посещении пользователем
системы сайтов в сети
Интернет или установкой
программ с функцией показа
рекламы.
фильтрации сетевого трафика
и антивирусного контроля на
уровне организации.
посещения пользователями
сайтов в сети Интернет.
УБИ. Угроза внедрения Угроза заключается в Внешний Сетевое актуальная
190 вредоносного кода за возможности осуществления нарушитель со программное
счет посещения нарушителем внедрения средним обеспечение
зараженных сайтов в вредоносного кода в потенциалом
сети Интернет компьютер пользователя при
посещении зараженных
сайтов. Нарушитель выявляет
наиболее посещаемые
пользователем сайты, затем
их взламывает и внедряет в
них вредоносный код.
слабостями мер антивирусной
защиты, а также отсутствием
правил межсетевого
экранирования.
возможна при:
‒ неограниченном доступе
пользователя в сеть Интернет;
наличии у нарушителя
сведений о сайтах,
посещаемых пользователем.
УБИ. Угроза внедрения Угроза заключается в Внутренний Прикладное актуальная

191 вредоносного кода в возможности осуществления нарушитель с программное
дистрибутив нарушителем заражения низким обеспечение,
программного системы путем установки потенциалом сетевое
обеспечения недоверенного дистрибутива, Внешний программное
в который внедрен нарушитель с обеспечение,
вредоносный код. Данная низким системное
угроза обусловлена потенциалом программное
слабостями мер антивирусной обеспечение
защиты. Реализация данной
угрозы возможна при:
применении пользователем
сторонних дистрибутивов;
отсутствии антивирусной
проверки перед установкой
дистрибутива
УБИ. Угроза использования Угроза заключается в Внутренний Прикладное актуальная
192 уязвимых версий возможности осуществления нарушитель с программное
программного нарушителем деструктивного низким обеспечение,
обеспечения воздействия на систему путём потенциалом сетевое
эксплуатации уязвимостей Внешний программное
программного обеспечения. нарушитель с обеспечение,
Данная угроза обусловлена низким системное
слабостями механизмов потенциалом программное
анализа программного обеспечение
обеспечения на наличие
уязвимостей. Реализация
данной угрозы возможна при
отсутствии проверки перед
применением программного
обеспечения на наличие в нем
уязвимостей или
использованием
программного обеспечения,
поддержка которого была
прекращена производителем
УБИ. Угроза удаленного Угроза заключается в Внешний Стационарные и актуальная
195 запуска вредоносного возможности удаленного нарушитель с мобильные
кода в обход запуска вредоносного кода за высоким устройства
механизмов защиты счет создания приложений, потенциалом (компьютеры и
операционной использующих обход ноутбуки)
системы механизмов защиты, (аппаратное
встроенных в операционную устройство)
систему.
ошибками в процессорах
(например, ошибками в
процессоре Intel поколения
Haswell), позволяющими за
счет создания специальных
приложений осуществлять
обход механизмов защиты,
встроенных в операционную
систему (например,
механизма ASLR).
возможна при:
инициировании коллизии в
таблице целевых буферов - с
ее помощью можно узнать
участки памяти, где
находятся конкретные
фрагменты кода;
создании приложения,
использующего эти
фрагменты кода для обхода
механизма защиты;
запуске данного
приложения в связке с
эксплойтом какой-либо
уязвимости самой
операционной системы для
создания возможности
удаленного запуска
вредоносного кода
УБИ. Угроза использования Угроза заключается в Внутренний Системное актуальная
211 непроверенных возможности деструктивного нарушитель с программное
пользовательских воздействия на низким обеспечение
данных при информационную систему и потенциалом
формировании обрабатываемую ею
конфигурационного информацию в результате
файла, используемого работы программного
программным обеспечения, используемого
обеспечением для администрирования
администрирования информационных систем.
информационных Данная угроза связана со
систем слабостями процедуры
проверки пользовательских
данных, используемых при
формировании
конфигурационного файла
для программного
обеспечения
информационных систем.
возможна в случае, если в
информационной системе
используется программное
обеспечение
информационных систем,
которое в качестве исходных
данных использует
конфигурационные файлы,
сформированные на основе
пользовательских данных.
УБИ. Угроза перехвата Угроза заключается в Внутренний Инфраструктура актуальная
212 управления возможности осуществления нарушитель со информационных
информационной нарушителем средним систем
системой несанкционированного потенциалом
доступа к информационным,
программным и
вычислительным ресурсам
информационной системы в
результате подмены средств
централизованного
управления информационной
системой или её
компонентами.
наличием у средств
управления программных
интерфейсов взаимодействия
с другими субъектами
доступа (процессами,
программами) и, как
следствие, возможностью
доступа к данным средствам
управления, а также
недостаточностью мер по
разграничению доступа к
ним.
наличия у нарушителя прав
на осуществление
взаимодействия со
средствами
управления.
УБИ. Угроза Угроза заключается в Внутренний Аппаратное актуальная
209 несанкционированног возможности получения нарушитель с устройство
о доступа к доступа к защищенной низким
защищаемой памяти памяти из программы, не потенциалом
ядра процессора обладающей Внешний
соответствующими правами, нарушитель с
в результате эксплуатации низким
уязвимостей, позволяющих потенциалом
преодолеть механизм
разграничения доступа,
реализуемый центральным
процессором.
обусловлена наличием
уязвимостей, связанных с
ошибкой контроля доступа к
памяти, основанных на
спекулятивном выполнении
инструкций процессора.
Ошибка контроля доступа
обусловлена следующими
факторами:
1) отсутствие проверки
прав доступа процесса к
читаемым областям при
спекулятивном выполнении
операций, в том числе при
чтении из оперативной
памяти;
2) отсутствие очистки кэша
от результатов ошибочного
спекулятивного исполнения;
3) хранение данных ядра
операционной системы в
адресном пространстве
процесса.
возможна из-за наличия
процессоров, имеющих
аппаратные уязвимости и
отсутствия соответствующих
обновлений
УБИ. Угроза нецелевого Угроза заключается в Внутренний Средство актуальная
208 использования возможности использования нарушитель с вычислительной
вычислительных вычислительных ресурсов низким техники,
ресурсов средства средств вычислительной потенциалом мобильное
вычислительной техники для осуществления Внутренний устройство
техники сторонних вычислительных нарушитель со
процессов. средним
Угроза реализуется за счет потенциалом
внедрения в средства Внешний
вычислительной техники нарушитель с
вредоносной программы, низким
содержащей код, потенциалом
реализующий использования Внешний
вычислительных ресурсов для нарушитель со
своих нужд (в частности, для средним
майнинга криптовалюты). потенциалом
недостаточностью
следующих мер защиты
информации:
мер по антивирусной
защите, что позволяет
выполнить установку и
запуск вредоносной
программы;
мер по ограничению
программной среды, что
позволяют нарушителю
осуществлять
бесконтрольный запуск
программных компонентов.
ПРИЛОЖЕНИЕ № 1
Уровни возможностей нарушителя
Уровень возмож-
№ ностей нарушите- Возможности нарушителей по реализации угроз безопасности
лей
Н1 Нарушитель, – Имеет возможность при реализации угроз безопасности информации использовать
обладающий только известные уязвимости, скрипты и инструменты.
базовыми – Имеет возможность использовать средства реализации угроз (инструменты), свободно
возможностями распространяемые в сети «Интернет» и разработанные другими лицами, имеет
минимальные знания механизмов их функционирования, доставки и выполнения
вредоносного программного обеспечения, эксплойтов.
– Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
– Имеет возможность реализации угроз за счет физических воздействий на технические
средства обработки и хранения информации, линий связи и обеспечивающие системы
систем и сетей при наличии физического доступа к ним
Н2 Нарушитель, – Обладает всеми возможностями нарушителей с базовыми возможностями.
обладающий – Имеет возможность использовать средства реализации угроз (инструменты), свободно
базовыми распространяемые в сети «Интернет» и разработанные другими лицами, однако хорошо
повышенными владеет этими средствами и инструментами, понимает, как они работают и может вносить
возможностями изменения в их функционирование для повышения эффективности реализации угроз.
– Оснащен и владеет фреймворками и наборами средств, инструментов для реализации
угроз безопасности информации и использования уязвимостей.
– Имеет навыки самостоятельного планирования и реализации сценариев угроз
– Обладает практическими знаниями о функционировании систем и сетей, операционных
систем, а также имеет знания защитных механизмов, применяемых в программном
обеспечении, программно-аппаратных средствах
Н3 Нарушитель, – Обладает всеми возможностями нарушителей с базовыми повышенными возможностями.
обладающий – Имеет возможность приобретать информацию об уязвимостях, размещаемую на
средними специализированных платных ресурсах (биржах уязвимостей).
возможностями – Имеет возможность приобретать дорогостоящие средства и инструменты для реализации
угроз, размещаемые на специализированных платных ресурсах (биржах уязвимостей).
– Имеет возможность самостоятельно разрабатывать средства (инструменты),
необходимые для реализации угроз (атак), реализовывать угрозы с использованием данных
средств.
– Имеет возможность получения доступа к встраиваемому программному обеспечению
аппаратных платформ, системному и прикладному программному обеспечению,
телекоммуникационному оборудованию и другим программно-аппаратным средствам для
проведения их анализа.
– Обладает знаниями и практическими навыками проведения анализа программного кода
для получения информации об уязвимостях.
– Обладает высокими знаниями и практическими навыками о функционировании систем и
сетей, операционных систем, а также имеет глубокое понимание защитных механизмов,
применяемых в программном обеспечении, программно-аппаратных средствах.
– Имеет возможность реализовывать угрозы безопасности информации в составе группы
лиц
Н4 Нарушитель, – Обладает всеми возможностями нарушителей со средними возможностями.
обладающий – Имеет возможность получения доступа к исходному коду встраиваемого программного
высокими обеспечения аппаратных платформ, системного и прикладного программного обеспечения,
возможностями телекоммуникационного оборудования и других программно-аппаратных средств для
получения сведений об уязвимостях «нулевого дня».
– Имеет возможность внедрения программных (программно-аппаратных) закладок или
уязвимостей на различных этапах поставки программного обеспечения или программно-
аппаратных средств.
– Имеет возможность создания методов и средств реализации угроз с привлечением
специализированных научных организаций и реализации угроз с применением специально
разработанных средств, в том числе обеспечивающих скрытное проникновение.
– Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих
базовые повышенные, средние и высокие возможности.
– Имеет возможность создания и применения специальных технических средств для
добывания информации (воздействия на информацию или технические средства),
распространяющейся в виде физических полей или явлений.
– Имеет возможность долговременно и незаметно для операторов систем и сетей
реализовывать угрозы безопасности информации.
– Обладает исключительными знаниями и практическими навыками о функционировании
систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлен о
конкретных защитных механизмах, применяемых в программном обеспечении,
программно-аппаратных средствах атакуемых систем и сетей
ПРИЛОЖЕНИЕ № 2
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации
угроз безопасности информации
№ Тактика Основные техники

Т1 Сбор T1.1 Сбор информации из публичных источников: официальный сайт (сайты) организации,
информации о СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференций
системах и T1.2 Сбор информации о подключенных к публичным системам и сетям устройствах и их
сетях службах при помощи поисковых систем, включая сбор конфигурационной информации
компонентов систем и сетей, программного обеспечения сервисов и приложений
T1.3 Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с
целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях –
идентификационной информации пользователей
T1.4 Направленное сканирование при помощи специализированного программного обеспечения
подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий
программного обеспечения этих сервисов, а также с целью получения конфигурационной
информации компонентов систем и сетей, программного обеспечения сервисов и приложений
Т1.5 Сбор информации о пользователях, устройствах, приложениях, а также сбор
конфигурационной информации компонентов систем и сетей, программного обеспечения
сервисов и приложений путем поиска и эксплуатации уязвимостей подключенных к сети
устройств
Т1.6 Сбор информации о пользователях, устройствах, приложениях, авторизуемых сервисами
вычислительной сети, путем перебора
Т1.7 Сбор информации, предоставляемой DNS сервисами, включая DNS Hijacking
Т1.8 Сбор информации о пользователе при посещении им веб-сайта, в том числе с
использованием уязвимостей программы браузера и надстраиваемых модулей браузера
Т1.9 Сбор информации о пользователях, устройствах, приложениях путем поиска информации в
памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов
ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей.
Т1.10 Кража цифровых сертификатов, включая кражу физических токенов, либо
неавторизованное выписывание новых сертификатов (возможно после компрометации
инфраструктуры доменного регистратора или аккаунта администратора зоны на стороне
жертвы)
Т1.11 Сбор информации о пользователях, устройствах, приложениях, внутренней информации о
компонентах систем и сетей путем применения социальной инженерии, в том числе фишинга
Т1.12 Сбор личной идентификационной информации (идентификаторы пользователей,
устройств, информация об идентификации пользователей сервисами, приложениями,
средствами удаленного доступа), в том числе сбор украденных личных данных сотрудников и
подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе
и за ее пределами
Т1.13 Сбор информации через получение доступа к системам физической безопасности и
видеонаблюдения
Т1.14 Сбор информации через получение контроля над личными устройствами сотрудников
(смартфонами, планшетами, ноутбуками) для скрытой прослушки и видеофиксации
Т1.15 Поиск и покупка баз данных идентификационной информации, скомпрометированых
паролей и ключей на специализированных нелегальных площадках
Т1.16 Сбор информации через получение доступа к базам данных результатов проведенных
инвентаризаций, реестрам установленного оборудования и ПО, данным проведенных аудитов
безопасности, в том числе через получение доступа к таким данным через компрометацию
подрядчиков и партнеров
Т1.17 Пассивный сбор и анализ данных телеметрии для получения информации о
технологическом процессе, технологических установках, системах и ПО на предприятиях в
автоматизированных системах управления производственными и технологическими
процессами, в том числе на критически важных объектах
Т1.18 Сбор и анализ данных о прошивках устройств, количестве и подключении этих устройств,
используемых промышленных протоколах для получения информации о технологическом
процессе, технологических установках, системах и ПО на предприятиях в автоматизированных
системах управления производственными и технологическими процессами, в том числе на
критически важных объектах
Т1.19 Сбор и анализ специфических для отрасли или типа предприятия характеристик
технологического процесса для получения информации о технологических установках,
системах и ПО на предприятиях в автоматизированных системах управления
производственными и технологическими процессами, в том числе на критически важных
объектах
Т1.20 Техники конкурентной разведки и промышленного шпионажа для сбора информации о
технологическом процессе, технологических установках, системах и ПО на предприятиях в
автоматизированных системах управления производственными и технологическими
процессами, в том числе на критически важных объектах
T1.21 Сбор информации о пользователях, устройствах, приложениях, а также сбор
конфигурационной информации компонентов систем и сетей, программного обеспечения
сервисов и приложений путем анализа и обобщения информации перехватываемой в сети
передачи информации
T1.22 Поиск и покупка специализированного программного обеспечения (вредоносного кода)
на специализированных нелегальных площадках
Т2 Получение Т2.1 Использование внешних сервисов организации в сетях публичного доступа (Интернет)
первоначально Т2.2 Использование устройств, датчиков, систем, расположенных на периметре или вне
го доступа к периметра физической защиты объекта, для получения первичного доступа к системам и
компонентам компонентам внутри этого периметра
систем и сетей Т2.3 Эксплуатация уязвимостей сетевого оборудования и средств защиты вычислительных
сетей для получения доступа к компонентам систем и сетей при удаленной атаке
Т2.4 Использование ошибок конфигурации сетевого оборудования и средств защиты, в том
числе слабых паролей и паролей по умолчанию, для получения доступа к компонентам систем и
сетей при удаленной атаке
Т2.5 Эксплуатация уязвимостей компонентов систем и сетей при удаленной или локальной
атаке
Т2.6 Использование недокументированных возможностей программного обеспечения сервисов,
приложений, оборудования, включая использование отладочных интерфейсов, программных,
программно-аппаратных закладок
Т2.7 Использование в системе внешних носителей информации, которые могли подключаться к
другим системам и быть заражены вредоносным программным обеспечением. В том числе
дарение, подмена или подлог носителей информации и внешних устройств, содержащих
вредоносное программное обеспечение или предназначенных для реализации вредоносных
функций
Т2.8 Использование методов социальной инженерии, в том числе фишинга, для получения прав
доступа к компонентам системы
Т2.9 Несанкционированное подключение внешних устройств
Т2.10 Несанкционированный доступ путем подбора учетных данных сотрудника или
легитимного пользователя (методами прямого перебора, словарных атак, паролей
производителей по умолчанию, использования одинаковых паролей для разных учетных
записей, применения «радужных» таблиц или другими)
Т2.11 Несанкционированный доступ путем компрометации учетных данных сотрудника
организации, в том числе через компрометацию многократно используемого в различных
системах пароля (для личных или служебных нужд)
Т2.12 Использование доступа к системам и сетям, предоставленного сторонним организациям, в
том числе через взлом инфраструктуры этих организаций, компрометацию личного
оборудования сотрудников сторонних организаций, используемого для доступа
Т2.13 Реализация атаки типа «человек посередине» для осуществления доступа, например,
NTLM/SMB Relaying атаки
Т2.14 Доступ путем эксплуатации недостатков систем биометрической аутентификации
Т2.15 Доступ путем использования недостатков правовых норм других стран, участвующих в
трансграничной передаче облачного трафика
Т2.16 Доступ путем использования возможности допуска ошибок в управлении
инфраструктурой системы потребителя облачных услуг, иммигрированной в облако
Т3 Внедрение и Т3.1 Автоматический запуск скриптов и исполняемых файлов в системе с использованием
исполнение пользовательских или системных учетных данных, в том числе с использованием методов
вредоносного социальной инженерии
программного Т3.2 Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное
обеспечения в программное и программное-аппаратное обеспечение систем и сетей
системах и Т3.3 Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с
сетях последующим запуском на выполнение
Т3.4 Копирование и запуск скриптов и исполняемых файлов через средства удаленного
управления операционной системой и сервисами
Т3.5 Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE,
Remotecodeexecution)
Т3.6 Автоматическое создание вредоносных скриптов при помощи доступного инструментария
от имени пользователя в системе с использованием его учетных данных
Т3.7 Подмена файлов легитимных программ и библиотек непосредственно в системе
Т3.8 Подмена легитимных программ и библиотек, а также легитимных обновлений
программного обеспечения, поставляемых производителем удаленно через сети связи, в
репозиториях поставщика или при передаче через сети связи
Т3.9 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные
обновления программного обеспечения, поставляемые производителем удаленно через сети
связи, подмена информации о таких обновлениях, включая атаки на инфраструктурные сервисы
поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную
почту и другие средства обмена сообщениями
Т3.10 Подмена дистрибутивов (установочных комплектов) программ на носителях информации
или общих сетевых ресурсах
Т3.11 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая
кражу этого сертификата у производителя ПО или покупку краденого сертификата на
нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью
эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических
ключей, хранения и управления цифровыми сертификатами
Т3.12 Компрометация средств создания программного кода приложений в инфраструктуре
разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой)
для последующего автоматизированного внесения изменений в этот код, устанавливаемый
авторизованным пользователем на целевые для нарушителя системы
Т3.13 Компрометация средств сборки, конфигурирования и разворачивания программного кода,
а также средств создания узкоспециализированного кода (к примеру, кода промышленных
контроллеров) в инфраструктуре целевой системы для автоматизированного внесения
изменений в этот код, устанавливаемый авторизованным пользователем на целевые для
нарушителя системы
Т3.14 Планирование запуска вредоносных программ при старте операционной системы путем
эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих
за автоматический запуск программ, запуска вредоносных программ как сервисов и т.п.
Т3.15 Планирование запуска вредоносных программ через планировщиков задач в
операционной системе, а также с использованием механизмов планирования выполнения в
удаленной системе через удаленный вызов процедур. Выполнение в контексте планировщика в
ряде случаев позволяет авторизовать вредоносное программное обеспечение и повысить
доступные ему привилегии
Т3.16 Запуск вредоносных программ при помощи легитимных, подписанных цифровой
подписью утилит установки приложений и средств запуска скриптов (т.н. техника
проксирования запуска), а также через средства запуска кода элементов управления ActiveX,
компонентов фильтров (кодеков) и компонентов библиотек DLL
T3.17 Планирование запуска вредоносного кода при запуске компьютера путем эксплуатации
стандартных механизмов BIOS (UEFI) и т.п.
T3.18 Эксплуатация уязвимостей типа локальное исполнение программного кода
Т4 Закрепление Т4.1 Несанкционированное создание учетных записей или кража существующих учетных
(сохранение данных
доступа) в Т4.2 Использование штатных средств удаленного доступа и управления операционной системы
системе или Т4.3 Скрытая установка и запуск средств удаленного доступа и управления операционной
сети системы. Внесение изменений в конфигурацию и состав программных и программно-
аппаратных средств атакуемой системы или сети, вследствие чего становится возможен
многократный запуск вредоносного кода
Т4.4 Маскирование подключенных устройств под легитимные (например, нанесение
корпоративного логотипа, инвентарного номера, телефона службы поддержки)
Т4.5 Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий,
обеспечивающих запуск вредоносного программного обеспечения при перезагрузке системы
или сети
Т4.6 Компрометация прошивок устройств с использованием уязвимостей или программно-
аппаратных закладок, к примеру, внедрение новых функций в BIOS (UEFI), компрометация
прошивок жестких дисков
Т4.7 Резервное копирование вредоносного кода в областях, редко подвергаемых проверке, в том
числе заражение резервных копий данных, сохранение образов в неразмеченных областях
жестких дисков и сменных носителей
T4.8 Использование прошивок устройств с уязвимостями, к примеру, внедрение новых функций
в BIOS (UEFI)
Т5 Управление Т5.1 Удаленное управление через стандартные протоколы (например, RDP, SSH), а также
вредоносным использование инфраструктуры провайдеров средств удаленного администрирования
программным Т5.2 Использование штатных средств удаленного доступа и управления операционной системы
обеспечением и Т5.3 Коммуникация с внешними серверами управления через хорошо известные порты на этих
(или) серверах, разрешенные на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
компонентами, Т5.4 Коммуникация с внешними серверами управления через нестандартные порты на этих
к которым серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой
ранее был фильтрации для обхода этих средств
получен доступ Т5.5 Управление через съемные носители, в частности, передача команд управления между
скомпрометированными изолированной системой и подключенной к Интернет системой через
носители информации, используемые на обеих системах
Т5.6 Проксирование трафика управления для маскировки подозрительной сетевой активности,
обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей,
дублирование каналов связи, обфускация и разделение трафика управления во избежание
обнаружения
Т5.7 Туннелирование трафика управления через VPN
Т5.8 Туннелирование трафика управления в поля заполнения и данных служебных протоколов,
к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS,
ICMP или другие
Т5.9 Управление через подключенные устройства, реализующие дополнительный канал связи с
внешними системами или между скомпрометированными системами в сети
Т5.10 Использование средств обфускации, шифрования, стеганографии для сокрытия трафика
управления
Т5.11 Передача команд управления через нестандартно интерпретируемые типовые операции, к
примеру, путем выполнения копирования файла по разрешенному протоколу (FTP или
подобному), путем управления разделяемыми сетевыми ресурсами по протоколу SMB и т.п.
Т5.12 Передача команд управления через публикацию на внешнем легитимном сервисе, таком
как веб-сайт, облачный ресурс, ресурс в социальной сети и т.п.
T5.13 Динамическое изменение адресов серверов управления, идентификаторов внешних
сервисов, на которых публикуются команды управления, и т.п. по известному алгоритму во
избежание обнаружения
Т6 Повышение Т6.1 Получение данных для аутентификации и авторизации от имени привилегированной
привилегий по учетной записи путем поиска этих данных в папках и файлах, поиска в памяти или перехвата в
доступу к сетевом трафике. Данные для авторизации включают пароли, хэш-суммы паролей, токены,
компонентам идентификаторы сессии, криптографические ключи, но не ограничиваются ими
систем и сетей Т6.2 Подбор пароля или другой информации для аутентификации от имени привилегированной
учетной записи
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий
Т6.4 Эксплуатация уязвимостей механизма имперсонации (запуска операций в системе от
имени другой учетной записи)
Т6.5 Манипуляции с идентификатором сессии, токеном доступа или иным параметром,
определяющим права и полномочия пользователя в системе таким образом, что новый или
измененный идентификатор/токен/параметр дает возможность выполнения ранее недоступных
пользователю операций
Т6.6 Обход политики ограничения пользовательских учетных записей в выполнении групп
операций, требующих привилегированного режима
Т6.7 Использование уязвимостей конфигурации системы, служб и приложений, в том числе
предварительно сконфигурированных профилей привилегированных пользователей,
автоматически запускаемых от имени привилегированных пользователей скриптов, приложений
и экземпляров окружения, позволяющих вредоносному ПО выполняться с повышенными
привилегиями
Т6.8 Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем
доступа к некоторым ресурсам (например, к файловой системе) для непривилегированных
учетных записей
Т6.9 Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины,
песочницы и т.п.) для исполнения кода вне этой среды
Т7 Сокрытие Т7.1 Использование нарушителем или вредоносной платформой штатных инструментов
действий и администрирования, утилит и сервисов операционной системы, сторонних утилит, в том числе
применяемых двойного назначения
при этом Т7.2 Очистка/затирание истории команд и журналов регистрации, перенаправление записей в
средств от журналы регистрации, переполнение истории команд и журналов регистрации, затруднение
обнаружения доступа к журналам регистрации для авторизованных пользователей
Т7.3 Удаление файлов, переписывание файлов произвольными данными, форматирование
съемных носителей
Т7.4 Отключение средств защиты от угроз информационной безопасности, в том числе средств
антивирусной защиты, механизмов аудита, консолей оператора мониторинга и средств защиты
других типов
Т7.5 Отключение систем и средств мониторинга и защиты от угроз промышленной, физической,
пожарной, экологической, радиационной безопасности, иных видов безопасности
автоматизированной системы управления технологическими процессами и управляемого
(контролируемого) объекта и (или) процесса
Т7.6 Подделка данных вывода средств защиты от угроз информационной безопасности
Т7.7 Подделка данных телеметрии, данных вывода автоматизированных систем управления,
данных систем и средств мониторинга и защиты от угроз промышленной, физической,
пожарной, экологической, радиационной безопасности, иных видов безопасности
автоматизированной системы управления технологическими процессами и управляемого
(контролируемого) объекта и (или) процесса, данных видеонаблюдения и других визуально или
автоматически интерпретируемых данных
Т7.8 Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые
могут использоваться для доставки сообщений о неработоспособности систем или их
компонентов или о других признаках атаки
Т7.9 Подписание кода, включая использование скомпрометированных сертификатов
авторитетных производителей ПО для подписания вредоносных программных модулей
Т7.10 Внедрение вредоносного кода в доверенные процессы операционной системы и другие
объекты, которые не подвергаются анализу на наличие такого кода, для предотвращения
обнаружения
Т7.11 Модификация модулей и конфигурации вредоносного программного обеспечения для
затруднения его обнаружения в системе
Т7.12 Манипуляции именами и параметрами запуска процессов и приложений для обеспечения
скрытности
Т7.13 Создание скрытых файлов, скрытых учетных записей
Т7.14 Установление ложных доверенных отношений, в том числе установка корневых
сертификатов для успешной валидации вредоносных программных модулей и авторизации
внешних сервисов
Т7.15 Внедрение вредоносного кода выборочным/целевым образом на наиболее важные
системы или системы, удовлетворяющие определенным критериям, во избежание
преждевременной компрометации информации об используемых при атаке уязвимостях и
обнаружения факта атаки
Т7.16 Искусственное временное ограничение распространения или активации вредоносного
кода внутри сети, во избежание преждевременного обнаружения факта атаки
Т7.17 Обфускация, шифрование, упаковка с защитой паролем или сокрытие
стеганографическими методами программного кода вредоносного ПО, данных и команд
управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе,
при хранении на сетевом ресурсе или при передаче по сети
Т7.18 Использование средств виртуализации для сокрытия вредоносного кода или вредоносной
активности от средств обнаружения в операционной системе
Т7.19 Туннелирование трафика управления через VPN
Т7.21 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств,
организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию
паролей доступа к интерфейсам управления сетевыми устройствами
Т7.22 Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
Т7.23 Подмена файлов легитимных программ и библиотек непосредственно в системе
Т7.24 Подмена легитимных программ и библиотек, а также легитимных обновлений
программного обеспечения, поставляемых производителем удаленно через сети связи, в
репозиториях поставщика или при передаче через сети связи
Т7.25 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные
обновления программного обеспечения, поставляемые производителем удаленно через сети
связи, информации о таких обновлениях, включая атаки на инфраструктурные сервисы
поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную
почту и другие средства обмена сообщениями
Т7.26 Подмена дистрибутивов (установочных комплектов) программ на носителях информации
или общих сетевых ресурсах
Т7.27 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая
кражу этого сертификата у производителя ПО или покупку краденого сертификата на
нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью
эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических
ключей, хранения и управления цифровыми сертификатами
Т7.28 Компрометация средств создания программного кода приложений в инфраструктуре
разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой)
для последующего автоматизированного внесения изменений в этот код, устанавливаемый
авторизованным пользователем на целевые для нарушителя системы
Т7.29 Компрометация средств сборки, конфигурирования и разворачивания программного кода,
а также средств создания узкоспециализированного кода (к примеру, кода промышленных
контроллеров), в инфраструктуре целевой системы, для автоматизированного внесения
изменений в этот код, устанавливаемый авторизованным пользователем на целевые для
нарушителя системы
Т8 Получение Т8.1 Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного
доступа выполнения программного кода для распространения доступа
(распространен Т8.2 Использование средств и интерфейсов удаленного управления для получения доступа к
ие доступа) к смежным системам и сетям
другим Т8.3 Использование механизмов дистанционной установки программного обеспечения и
компонентам конфигурирования
систем и сетей Т8.4 Удаленное копирование файлов, включая модули вредоносного программного обеспечения
или смежным и легитимные программные средства, которые позволяют злоумышленнику получать доступ к
системам и смежным системам и сетям
сетям Т8.5 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств,
организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию
паролей доступа к интерфейсам управления сетевыми устройствами
Т8.6 Копирование вредоносного кода на съемные носители
Т8.7 Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
Т8.8 Использование доверенных отношений скомпрометированной системы и пользователей
этой системы с другими системами и пользователями для распространения вредоносного
программного обеспечения или для доступа к системам и информации в других системах и
сетях
Т9 Сбор и вывод Т9.1 Доступ к системе для сбора информации и вывод информации через стандартные
из системы или протоколы управления (например, RDP, SSH), а также использование инфраструктуры
сети провайдеров средств удаленного администрирования
информации, Т9.2 Доступ к системе для сбора информации и вывод информации через использование
необходимой штатных средств удаленного доступа и управления операционной системы
для Т9.3 Вывод информации на хорошо известные порты на внешних серверах, разрешенные на
дальнейших межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
действий при Т9.4 Вывод информации на нестандартные порты на внешних серверах, что в некоторых
реализации случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих
угроз средств
безопасности Т9.5 Отправка данных по известным протоколам управления и передачи данных
информации Т9.6 Отправка данных по собственным протоколам
или реализации
Т9.7 Проксирование трафика передачи данных для маскировки подозрительной сетевой
новых угроз активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры
нарушителей, дублирование каналов связи, обфускация и разделение трафика передачи данных
во избежание обнаружения
Т9.8 Туннелирование трафика передачи данных через VPN
Т9.10 Вывод информации через съемные носители, в частности, передача данных между
скомпрометированными изолированной системой и подключенной к Интернет системой через
носители информации, используемые на обеих системах
Т9.11 Отправка данных через альтернативную среду передачи данных
Т9.12 Шифрование выводимой информации, использование стеганографии для сокрытия факта
вывода информации
Т9.13 Вывод информации через предоставление доступа к файловым хранилищам и базам
данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания
новых учетных записей или передачи данных для аутентификации и авторизации имеющихся
учетных записей
Т9.14 Вывод информации путем размещения сообщений или файлов на публичных ресурсах,
доступных для анонимного нарушителя (форумы, файлообменные сервисы, фотобанки,
облачные сервисы, социальные сети)
Т1 Несанкциониро Т10.1 Несанкционированный доступ к информации в памяти системы, файловой системе, базах
0 ванный доступ данных, репозиториях, в программных модулях и прошивках
и (или) Т10.2 Несанкционированное воздействие на системное программное обеспечение, его
воздействие на конфигурацию и параметры доступа
информационн Т10.3 Несанкционированное воздействие на программные модули прикладного программного
ые ресурсы или обеспечения
компоненты Т10.4 Несанкционированное воздействие на программный код, конфигурацию и параметры
систем и сетей, доступа прикладного программного обеспечения
приводящие к Т10.5 Несанкционированное воздействие на программный код, конфигурацию и параметры
негативным доступа системного программного обеспечения
последствиям Т10.6 Несанкционированное воздействие на программный код, конфигурацию и параметры
доступа прошивки устройства
Т10.7 Подмена информации (например, платежных реквизитов) в памяти или информации,
хранимой в виде файлов, информации в базах данных и репозиториях, информации на
неразмеченных областях дисков и сменных носителей
Т10.8 Уничтожение информации, включая информацию, хранимую в виде файлов, информацию
в базах данных и репозиториях, информацию на неразмеченных областях дисков и сменных
носителей
Т10.9 Добавление информации (например, дефейсинг корпоративного портала, публикация
ложной новости)
Т10.10 Организация отказа в обслуживании одной или нескольких систем, компонентов
системы или сети
Т10.11 Нецелевое использование ресурсов системы
Т10.12 Несанкционированное воздействие на автоматизированные системы управления с целью
вызова отказа или нарушения функций управления, в том числе на АСУ критически важных
объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность
для жизни и здоровья людей и для окружающей природной среды, в том числе опасных
производственных объектов
Т10.13 Несанкционированное воздействие на автоматизированные системы управления с целью
вызова отказа или поломки оборудования, в том числе АСУ критически важных объектов,
потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни
и здоровья людей и для окружающей природной среды, в том числе опасных производственных
объектов
Т10.14 Отключение систем и средств мониторинга и защиты от угроз промышленной,
физической, пожарной, экологической, радиационной безопасности, иных видов безопасности,
в том числе критически важных объектов, потенциально опасных объектов, объектов,
представляющих повышенную опасность для жизни и здоровья людей и для окружающей
природной среды, в том числе опасных производственных объектов
Т10.15 Воздействие на информационные ресурсы через системы распознавания визуальных,
звуковых образов, системы геопозиционирования и ориентации, датчики вибрации, прочие
датчики и системы преобразования сигналов физического мира в цифровое представление с
целью полного или частичного вывода системы из строя или несанкционированного управления
системой

Модель угроз безопасности информации - ССВ

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Модель угроз безопасности информации - ССВ

Загружено:

Авторское право:

Доступные форматы

Министерство науки и высшего образования Российской Федерации

федеральное государственное бюджетное образовательное учреждение

Институт электроники и светотехники

Кафедра информационной безопасности и сервиса

ОТЧЁТ О ПРАКТИЧЕСКОЙ РАБОТЕ №1

по дисциплине: Организационное и правовое обеспечение информационной

Автор отчёта о практической работе ____________________ Е.О. Кривочков

Направление подготовки 10.03.01 Информационная безопасность

Архитектура систем и сетей – совокупность основных структурно-

2.1 Назначение и область действия документа

3.1 Наименование систем и сетей, для которых разработана модель

3.5.2 ИС «Служба занятости населения» функционирует на базе

4.1 В ходе оценки угроз безопасности информации определяются

Т а б л и ц а 2 –– Виды рисков (ущерба) и негативные последствия

5.1 В ходе оценки угроз безопасности информации определяются

Т а б л и ц а 3 – Объекты воздействия и виды воздействия

АРМ сотрудников Утечка информации с АРМ

6.1 В ходе оценки угроз безопасности информации определяются

Т а б л и ц а 4 – Актуальные нарушители для системы

Разработчики Внутренний Непреднамеренные, неосторожные или Хищение денежных

Лица, Внешний Получение финансовой или иной

Поставщики Внутренний Получение финансовой или иной

Бывшие работники Внешний Получение финансовой или иной Разглашение

6.3 Нарушители имеют разные уровни компетентности, оснащенности

7.1 В ходе оценки угроз безопасности информации определяются

Авторизованные пользователи АРМ главного бухгалтера Локальная вычислительная сеть Ошибочные

8.1 В ходе оценки угроз безопасности информации определяются

Перечень угроз из банка данных угроз безопасности информации bdu.fstec.ru

УБИ. Угроза Угроза заключается в Внешний Облачная система неактуальная Облачные

УБИ. Угроза изменения Угроза заключается в Внутренний Системное актуальная

УБИ. Угроза Угроза заключается в ВнеС Внутренний актуальная

УБИ. Угроза скрытного Угроза заключается в Внешний Сетевой узел, актуальная

УБИ. Угроза внедрения Угроза заключается в Внутренний Прикладное актуальная

№ Тактика Основные техники

Вам также может понравиться