Академический Документы
Профессиональный Документы
Культура Документы
безопасности
Институт телекоммуникаций/
Кафедра Инфокоммуникационных систем и сетей/
Кафедра передачи дискретных сообщений и метрологии/
11_Основы информационной безопасности_22
https://eios.sibsutis.ru/course/view.php?id=3090
текстовая, например:
-текст в книге;
-устное сообщение (словесная форма)
числовая, например:
-числовые таблицы;
-массивы цифровых данных
графическая, например:
-рисунки, схемы, чертежи;
-фотографии
музыкальная(звуковая), например:
-аудиофайлы.
Классификация информации
3. По общественному значению.
личная
общественная
(сведения получаемые из СМИ, традиции)
обыденная
(получаемая в процессе общения)
эстетическая
(театр, изобразительное искусство)
специальная
(научная, техническая, правовая)
Сигнал - изменяющийся во времени физический
процесс или процесс, несущий информацию.
Сообщение-информация, представленная в
определенной форме и предназначенная для передачи.
Сообщение передаваемое посредством носителя –
сигнал.
Данные–информация, представленная в
формализованном виде и предназначенная для
обработки ее техническими средствами.
Непрерывность и дискретность
сигнала по уровню и времени
непрерывное сообщение
может быть представлено
непрерывной функцией,
заданной на некотором
интервале
дискретный сигнал по
времени и/или по уровню
Фазы обращения с информацией
При реализации информационных процессов всегда
происходит перенос информации в пространстве и времени от
источника к приемнику (адресату).
Передача
посредством Обработка хранение
сигналов (преобразование с использованием
(электрических, информации) носителей
оптических)
Структурный
подход объем данных, заключающийся в измерении количества
символов, например, в битах
Статистический
подход энтропия –мера неопределенности (вероятности
осуществления события)
не подлежащая
защите защищаемая
(открытая) (ограниченного доступа)
свойство процесс
конфиденциальность
целостность
защищаемая
(ограниченного доступа)
Классификационная
схема основных
понятий в области
защиты информации защита информации
способы
Защита от утечек
виды
техническая Защита от
непреднамеренного
воздействия
криптографическая
Защита от разглашения
физическая
Защита от НСД
Защищаемая информация - информация,
являющаяся предметом собственности и
подлежащая защите в соответствии с
требованиями правовых документов или
требованиями, устанавливаемыми
собственником информации. [ГОСТ Р 50922-2006]
Информационная
Защита информации
безопасность
состояние защищенности
Свойства информации
[Р 50.1.053-2005]
3 Новосибирск, 2021
Классификация АС
распространяется на все действующие и проектируемые
АС, обрабатывающие конфиденциальную информацию.
4 Новосибирск, 2021
Классификация АС
Необходимыми исходными данными для проведения
классификации конкретной АС являются:
1) перечень защищаемых информационных ресурсов АС
и их уровень конфиденциальности;
2) перечень лиц, имеющих доступ к штатным средствам
АС, с указанием их уровня полномочий;
3) матрица доступа или полномочий субъектов доступа
по отношению к защищаемым информационным
ресурсам АС;
4) режим обработки данных в АС.
5 Новосибирск, 2021
Классификация АС
ТРЕТЬЯ ГРУППА
АС, в которых работает один пользователь, допущенный 3Б
ко всей информации АС, размещенной на носителях
одного уровня конфиденциальности. 3А
ВТОРАЯ ГРУППА
АС, в которых пользователи имеют одинаковые права 2Б
доступа (полномочия) ко всей информации АС,
обрабатываемой и/или хранимой на носителях 2А
различного уровня конфиденциальности.
ПЕРВАЯ ГРУППА
многопользовательские АС, в которых
одновременно обрабатывается и/или
хранится информация разных уровней 1Д 1Г 1В 1Б 1А
конфиденциальности. Не все
пользователи имеют право доступа ко
Новосибирск, 2021
6
всей информации АС.
Классификация АС
В общем случае, комплекс программно-технических
средств и организационных (процедурных) решений по
защите информации от НСД реализуется в рамках
системы защиты информации от НСД, условно
состоящей из следующих подсистем:
1) управления доступом;
2) регистрации и учета;
3) криптографической;
4) обеспечения целостности.
7 Новосибирск, 2021
Классы
Подсистемы и требования
3Б 3А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ - -
к программам - -
к томам, каталогам, файлам, записям, полям записей - -
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) + +
выдачи печатных (графических) выходных документов - +
запуска (завершения) программ и процессов (заданий, задач) - -
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по
- -
линиям и каналам связи
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам
- -
ЭВМ, программам, томам, каталогам, файлам, записям, полям записей
изменения полномочий субъектов доступа - -
создаваемых защищаемых объектов доступа - -
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних
- +
накопителей
2.4. Сигнализация попыток нарушения защиты - -
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - -
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных
- -
ключах
3.3. Использование аттестованных (сертифицированных) криптографических средств - -
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС - -
4.4. Периодическое тестирование СЗИ НСД + +
4.5.
8 Наличие Новосибирск, 2021
средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты - +
Классификация СВТ
Определено семь классов защищенности СВТ от НСД к
информации. Самый низкий класс – седьмой, самый
высокий – первый.
Седьмой класс присваивают СВТ, к которым
предъявлялись требования по защите от НСД к
информации, но при оценке защищенность СВТ
оказалась ниже уровня требований шестого класса.
9 Новосибирск, 2021
Классификация СВТ 7 класс
ПЕРВАЯ
ГРУППА только седьмой класс
5и6
ВТОРАЯ шестой и пятый классы, характеризующиеся
ГРУППА дискреционной защитой
2, 3, 4
ТРЕТЬЯ четвертый, третий и второй классы,
ГРУППА характеризующиеся мандатной защитой
1
ЧЕТВЕРТАЯ только первый класс, характеризующийся
ГРУППА
10
верифицированной защитой
Новосибирск, 2021
Класс
Наименование показателя
6 5 4 3 2 1
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа - - + = = =
Очистка памяти - + + + = =
Изоляция модулей - - + = + =
Маркировка документов - - + = = =
Защита ввода и вывода на отчуждаемый физический
- - + = = =
носитель информации
Сопоставление пользователя с устройством - - + = = =
Идентификация и аутентификация + = + = = =
Гарантии проектирования - + + + + +
Регистрация - + + + = =
Взаимодействие пользователя КСЗ - - - + = =
Надежное восстановление - - - + = =
Целостность КСЗ - + + + = =
Контроль модификации - - - - + =
Контроль дистрибуции - - - - + =
Гарантии архитектуры - - - - - +
Тестирование + + + + + =
Руководство для пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая
11
документация
Новосибирск, 2021 + + + + + =
Конструкторская (проектная) документация + + + + + +
6 Построение системы защиты
информации
2 Правовое обеспечение
Правовая база
1. Конституция РФ. 2. Уголовный кодекс РФ.
3. Трудовой кодекс РФ. 4. Налоговый кодекс РФ.
5. Закон РФ от 21.07.1993 № 5485-1 (ред. от 29.07.2018) «О
государственной тайне».
6. Закон РФ от 27.12.1991 № 2124-1 (ред. от 06.06.2019) «О средствах
массовой информации».
7. Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 31.12.2017)
«О персональных данных».
8. Федеральный закон от 27.07.2006 № 149-ФЗ (ред. от 18.03.2019)
«Об информации, информационных технологиях и о защите
информации»
9. Федеральный закон от 29.07.2004 № 98-ФЗ (ред. от 18.04.2018) «О
коммерческой тайне».
10. Указы Президента РФ и Постановления Правительства РФ.
2 Новосибирск, 2021
1, 2, 6 8
Информационные ресурсы
Ограниченного
Общедоступные
доступа
5
персональные 3, 7
Содержащие
Конфиденциальные
личного характера гос. тайну
1, 2
особой
делового характера
важности
коммерческая тайна
1, 2, 9
секретно
объекты авторского права
1, 2
объекты патентного права совершенно
1, 2 секретно
для служебного пользования
1, 10
3 профессиональная тайна
2, 4
Парадигма информационной
безопасности РФ
Доктрина информационной Указ Президента РФ от 12 мая
безопасности РФ (утв. 2009 г. № 537 «О Стратегии
Президентом РФ от 09.09.2000 национальной безопасности РФ
№ Пр-1895) до 2020 года»
Указ Президента РФ от
Указ Президента РФ от
05.12.2016 № 646 «Об
31.12.2015 № 683
утверждении Доктрины
«О Стратегии национальной
информационной безопасности
безопасности РФ»
РФ»
4 Новосибирск, 2021
Первая версия Доктрины от 2000 г.
− совокупность официальных взглядов на цели, задачи,
принципы и основные направления обеспечения
информационной безопасности РФ.
Развивала Концепцию национальной безопасности РФ
применительно к информационной сфере.
Информационная безопасность РФ − состояние
защищенности ее национальных интересов в
информационной сфере, определяющихся
совокупностью сбалансированных интересов личности,
общества и государства.
5 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
Информационная сфера – совокупность информации, объектов
информатизации, ИС, сайтов в информационно-телекоммуникационной
сети «Интернет», сетей связи, ИТ, субъектов, деятельность которых связана
с формированием и обработкой информации, развитием и использованием
названных технологий, обеспечением ИБ, а также совокупность механизмов
регулирования соответствующих общественных отношений.
Национальные интересы РФ в информационной сфере – объективно
значимые потребности личности, общества и государства в обеспечении их
защищенности и устойчивого развития в части, касающейся
информационной сферы.
Информационная безопасность – состояние защищенности личности,
общества и государства от внутренних и внешних информационных угроз,
при котором обеспечиваются реализация конституционных прав и свобод
человека и гражданина, достойные качество и уровень жизни граждан,
суверенитет, территориальная целостность и устойчивое социально-
экономическое развитие РФ, оборона и безопасность государства.
6 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
I Общие положения
Представлены основные понятия.
Указано, что в Доктрине:
1) приведена система официальных взглядов на обеспечение
национальной безопасности РФ в информационной сфере;
2) на основе анализа основных информационных угроз и оценки
состояния ИБ определены стратегические цели и основные
направления обеспечения ИБ с учетом стратегических
национальных приоритетов РФ;
3) заложена основа для формирования гос. политики и развития
общественных отношений в области обеспечения ИБ, а также для
выработки мер по совершенствованию системы обеспечения ИБ.
7 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
II Национальные интересы в
информационной сфере
Реализация национальных интересов в информационной
сфере направлена на формирование безопасной среды
оборота достоверной информации и устойчивой к различным
видам воздействия информационной инфраструктуры в целях
обеспечения конституционных прав и свобод человека и
гражданина, стабильного социально-экономического
развития страны, а также национальной безопасности РФ.
8 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
III Основные информационные
угрозы и состояние ИБ
Возможности трансграничного оборота информации все чаще
используются для достижения геополитических,
противоречащих международному праву военно-
политических, а также террористических, экстремистских,
криминальных и иных противоправных целей в ущерб
международной безопасности и стратегической стабильности.
При этом практика внедрения ИТ без увязки с обеспечением
ИБ существенно повышает вероятность проявления
информационных угроз.
9 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
1) обороны страны является защита жизненно важных
интересов личности, общества и государства от внутренних и
внешних угроз, связанных с применением ИТ в военно-
политических целях, противоречащих международному праву,
в том числе в целях осуществления враждебных действий и
актов агрессии, направленных на подрыв суверенитета,
нарушение территориальной целостности государств и
представляющих угрозу международному миру, безопасности
и стратегической стабильности.
10 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
2) государственной и общественной безопасности является
защита суверенитета, поддержание политической и
социальной стабильности, территориальной целостности РФ,
обеспечение основных прав и свобод человека и гражданина, а
также защита критической информационной инфраструктуры
(КИИ).
11 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
3) экономики является сведение к минимально возможному
уровню влияния негативных факторов, обусловленных
недостаточным уровнем развития отечественной отрасли ИТ
и электронной промышленности, разработка и производство
конкурентоспособных средств обеспечения ИБ, а также
повышение объемов и качества оказания услуг в области
обеспечения ИБ.
12 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
4) науки, технологий и образования является поддержка
инновационного и ускоренного развития системы
обеспечения ИБ, отрасли ИТ и электронной промышленности.
13 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
IV Стратегические цели и основные
направления обеспечения ИБ
Стратегической целью обеспечения ИБ в области:
5) стратегической стабильности и равноправного
стратегического партнерства является формирование
устойчивой системы неконфликтных межгосударственных
отношений в информационном пространстве.
14 Новосибирск, 2021
Вторая версия Доктрины от 2016 г.
V Организационные основы
обеспечения ИБ
Определены:
− государственные органы являющиеся организационной
основой системы обеспечения ИБ;
− участники системы обеспечения ИБ;
− принципы, на которых должна основываться деятельность
государственных органов по обеспечению ИБ;
− задачи государственных органов в рамках деятельности по
обеспечению ИБ;
− задачи государственных органов в рамках деятельности по
развитию и совершенствованию системы обеспечения ИБ.
15 Новосибирск, 2021
Стратегия от 2009 г.
Основная задача: формирование и поддержание силами
обеспечения нацбезопасности внутренних и внешних условий,
благоприятных для реализации стратегических нацприоритетов.
Приоритеты национальной безопасности:
− национальная оборона;
− государственная и общественная безопасность;
− повышение качества жизни российских граждан;
− экономический рост;
− наука, технологии и образование;
− здравоохранение;
− культура;
− экология живых систем и рациональное природопользование;
− стратегическая стабильность и равноправное стратегическое
16 партнерство.
Новосибирск, 2021
Стратегия от 2015 г... (без срока
действия)
Национальная безопасность РФ − состояние защищенности
личности, общества и государства от внутренних и внешних
угроз, при котором обеспечиваются:
− реализация конституционных прав и свобод граждан РФ,
− достойные качество и уровень их жизни,
− суверенитет, независимость, государственная и
территориальная целостность,
− устойчивое социально-экономическое развитие РФ.
Стратегические приоритеты национальной безопасности без
изменений.
17 Новосибирск, 2021
Стратегия от 2015 г.
Национальная безопасность
Оборона страны Безопасность
Национальная безопасность − государственная,
включает в себя оборону страны и − общественная,
все виды безопасности, − информационная,
предусмотренные Конституцией РФ − экологическая,
и законодательством РФ, прежде
− экономическая,
всего: государственную,
общественную, информационную,
− транспортная,
экологическую, экономическую, − энергетическая безопасность,
транспортную, энергетическую − безопасность личности и др
безопасность, безопасность
личности.
18 Новосибирск, 2021
Стратегия от 2015 г.
Для предотвращения угроз национальной безопасности
Россия сосредоточивает усилия на:
− укреплении внутреннего единства российского общества;
− обеспечении социальной стабильности, межнационального
согласия и религиозной терпимости;
− устранении структурных дисбалансов в экономике и ее
модернизации;
− повышении обороноспособности страны.
В целях защиты национальных интересов Россия проводит
открытую, рациональную и прагматичную внешнюю
политику, исключающую затратную конфронтацию (в том
числе новую гонку вооружений).
19 Новосибирск, 2021
Стратегия от 2015 г.
Россия выстраивает международные отношения на
принципах:
− международного права;
− обеспечения надежной и равной безопасности государств;
− взаимного уважения народов;
− сохранения многообразия их культур, традиций и интересов.
Россия заинтересована в развитии взаимовыгодного и
равноправного торгово-экономического сотрудничества с
иностранными государствами (приобретение как можно
большего числа равноправных партнеров в различных частях
мира).
20 Новосибирск, 2021
Стратегия от 2015 г.
Организация Объединенных Наций и ее Совет Безопасности
22 Новосибирск, 2021
3 Критическая информационная
инфраструктура
3 Критическая информационная
инфраструктура
Федеральный закон от 26.07.2017 N 187-ФЗ
«О безопасности критической информационной
инфраструктуры Российской Федерации»
Критическая информационная инфраструктура
(КИИ) – объекты критической информационной
инфраструктуры, а также сети электросвязи,
используемые для организации взаимодействия таких
объектов.
2 Новосибирск, 2021
Объекты КИИ – ИС, информационно-телекоммуникационные сети,
автоматизированные системы управления субъектов КИИ.
Субъекты КИИ – государственные органы, государственные
учреждения, российские юридические лица и (или) индивидуальные
предприниматели, которым на праве собственности, аренды или на
ином законном основании принадлежат ИС, информационно-
телекоммуникационные сети, автоматизированные системы
управления, функционирующие в сфере:
здравоохранения науки транспорта связи энергетики
банковской сфере и иных топливно-энергети- в области
сферах финансового рынка ческого комплекса атомной энергии
оборонной ракетно-космической горнодобывающей
промышленности промышленности промышленности
металлургической промышленности химической промышленности
4 Новосибирск, 2021
Федеральный закон N 187-ФЗ
Компьютерная атака – целенаправленное воздействие
программных и (или) программно-аппаратных средств на
объекты КИИ, сети электросвязи, используемые для
организации взаимодействия таких объектов, в целях
нарушения и (или) прекращения их функционирования и
(или) создания угрозы безопасности обрабатываемой такими
объектами информации.
Компьютерный инцидент – факт нарушения и (или)
прекращения функционирования объекта КИИ, сети
электросвязи, используемой для организации взаимодействия
таких объектов, и (или) нарушения безопасности
обрабатываемой таким объектом информации, в том числе
произошедший в результате компьютерной атаки.
5 Новосибирск, 2021
Федеральный закон N 187-ФЗ
Государственная система обнаружения,
предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ
(ГосСОПКА) – единый территориально распределенный
комплекс, включающий силы и средства, предназначенные
для обнаружения, предупреждения и ликвидации
последствий компьютерных атак и реагирования на
компьютерные инциденты.
При этом под информационными ресурсами РФ
понимаются ИС, информационно-телекоммуникационные
сети и автоматизированные системы управления,
находящиеся на территории РФ, в дипломатических
представительствах и (или) консульских учреждениях РФ.
6 Новосибирск, 2021
Категорирование объекта КИИ
представляет собой установление соответствия объекта КИИ
критериям значимости и показателям их значений,
присвоение ему одной из категорий значимости, проверку
сведений о результатах ее присвоения.
первая третья
вторая
(самая высокая) (самая низкая)
8 Новосибирск, 2021
Категорирование объекта КИИ
первая вторая третья
9 Новосибирск, 2021
Во исполнение ФЗ № 187
Функции федерального органа исполнительной власти,
уполномоченного в области обеспечения функционирования
государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на
информационные ресурсы РФ возложить на:
Федеральную службу безопасности
Российской Федерации
10 Новосибирск, 2021
ГосСОПКА (пр. ФСБ России от 06.05.2019 N 196 «Об утверждении
Требований к средствам, предназначенным для обнаружения,
предупреждения и ликвидации последствий компьютерных атак и
реагирования на компьютерные инциденты»)
1) технические, программные, программно-аппаратные и иные
средства для:
- обнаружения компьютерных атак ;
- предупреждения компьютерных атак;
- ликвидации последствий компьютерных атак;
- поиска признаков компьютерных атак (ППКА) в сетях
электросвязи, используемых для организации взаимодействия
объектов КИИ;
- обмена информацией, необходимой субъектам КИИ при
обнаружении, предупреждении и (или) ликвидации последствий
компьютерных атак;
2) криптографические средства защиты информации, необходимые
субъектам КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак.
11 Новосибирск, 2021
ГосСОПКА
Должны быть выполнены функции:
регистрации событий ИБ
контроля целостности ПО
12 Новосибирск, 2021
Приказ ФСТЭК России от 21.12.2017 N 235 (ред. от 27.03.2019) «Об
утверждении Требований к созданию систем безопасности значимых
объектов КИИ РФ и обеспечению их функционирования»
13 Новосибирск, 2021
Перечень показателей критериев значимости
объектов КИИ РФ и их значений
представлен в Постановлении Правительства РФ от
08.02.2018 N 127 (ред. от 13.04.2019) «Об утверждении
Правил категорирования объектов КИИ РФ, а также
перечня показателей критериев значимости объектов
КИИ РФ и их значений».
14 Новосибирск, 2021
Значение показателя
Показатель
III категория II категория I категория
I. Социальная значимость
1. Причинение ущерба жизни и более или равно 1, но менее более 50, но менее или равно более 500
здоровью людей (человек) или равно 50 500
2. Прекращение <1> или <1> Полное прекращение выполнения критического процесса.
нарушение <2> Отклонение значений параметров критического процесса, в том числе
функционирования <2> временных параметров и параметров надежности, от проектных (штатных)
объектов обеспечения режимов функционирования.
жизнедеятельности <3> Объекты, обеспечивающие водо-, тепло-, газо- и электроснабжение
населения <3>, оцениваемые: населения.
а) на территории, на которой в пределах территории выход за пределы выход за пределы
возможно нарушение одного муниципального территории одного территории одного
обеспечения образования (численностью муниципального субъекта
жизнедеятельности от 2 тыс. человек) или одной образования (численностью Российской
населения; внутригородской от 2 тыс. человек) или одной Федерации или
территории города внутригородской территории города
федерального значения территории города федерального
федерального значения, но значения
не за пределы территории
одного субъекта РФ или
территории города
федерального значения
б) по количеству людей, более или равно 2, но менее более или равно 1000, но более или равно
условия жизнедеятельности 1000 менее 5000 5000
которых могут быть
Новосибирск,
15 нарушены 2021
(тыс. человек)
4 Угрозы и уязвимости
4 Угрозы и уязвимости
Уязвимость информационной системы – свойство
информационной системы, обусловливающее возможность
реализации угроз безопасности обрабатываемой в ней
информации. [ГОСТ Р 50922-2006]
Угроза безопасности информации – совокупность условий и
факторов, создающих потенциальную или реально
существующую опасность нарушения безопасности
информации. [ГОСТ Р 50922-2006]
Атака – действия, направленные на реализацию угроз
несанкционированного доступа к информации, воздействия
на нее или на ресурсы автоматизированной информационной
системы с применением программных и (или) технических
средств. [Р 50.1.056-2005]
Примечание: условием реализации угрозы безопасности
обрабатываемой в системе информации может быть
недостаток или слабое место в информационной системе. Если
уязвимость соответствует угрозе, то существует риск.
2 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
1. По области происхождения выделяют следующие
классы:
уязвимости уязвимости
уязвимости кода
конфигурации архитектуры
организационные многофакторные
уязвимости уязвимости
3 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.1
недостатки, связанные - отсутствие необходимого параметра;
с неправильной - присвоение параметру неправильных
настройкой значений;
параметров ПО - наличие избыточного числа
параметров или неопределенных
параметров ПО.
2.2
недостатки, связанные - отсутствие проверки значений;
с неполнотой - избыточное количество значений;
проверки вводимых - неопределенность значений вводимых
(входных) данных (входных) данных.
4 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.3
недостатки, связанные - отслеживание пути доступа к каталогу
с возможностью (по адресной строке/составному имени)
прослеживания пути и получение доступа к
доступа к каталогам предыдущему/корневому месту
хранения данных.
2.4
- внедрение нарушителем ссылки на
недостатки, связанные
сторонние ресурсы, которые могут
с возможностью
содержать вредоносный код;
перехода по ссылкам
- для файловых систем: символьные
ссылки и возможности прослеживания
по ним нахождения ресурса, доступ к
5 Новосибирск, 2021 которому ограничен.
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.5
- выполнение пользователем команд
недостатки, связанные
операционной системы (например,
с возможностью
просмотр структуры каталогов,
внедрения команд ОС
копирование, удаление файлов и другие
команды).
2.6
недостатки, обычно распространен в web-
приложениях и позволяет внедрять код в
связанные с
межсайтовым web-страницы, которые могут
скриптингом просматривать нелегитимные
(выполнением пользователи (например, скрипты,
сценариев) выполняющиеся на стороне
6 Новосибирск, 2021 пользователя).
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.7
недостатки,
связанные с - операторы языков программирования,
внедрением например, операции выбора, добавления,
интерпретируемых удаления и другие;
операторов языков - разметка исходного кода web-
программирования приложения.
или разметки
2.8
- код и/или часть кода, которые могут
недостатки, связанные
привести к нарушению процесса
с внедрением
выполнения операций.
произвольного кода
7 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.9
В случаях:
недостатки, связанные - когда ПО осуществляет запись данных за
с переполнением пределами выделенного в памяти буфера;
буфера памяти - неправильной работы с данными,
полученными извне, и памятью.
В результате:
- испорчены данные, расположенные
следом за буфером или перед ним;
- аварийно завершено или зависло ПО;
- нарушитель может выполнить
произвольный код от имени ПО и с
правами учетной записи, от которой она
выполняется.
8 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.10
ошибки форматной строки
недостатки, связанные
потенциально позволяют нарушителю
с неконтролируемой
динамически изменять путь исполнения
форматной строкой
программы, в ряде случаев - внедрять
произвольный код.
9 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.11
- некорректный диапазон (ПО использует
недостатки, связанные неверное максимальное или минимальное
с вычислениями значение, которое отличается от верного на
единицу в большую или меньшую сторону);
- ошибка числа со знаком (нарушитель может
ввести данные, содержащие отрицательное
целое число, которые программа преобразует
в положительное нецелое число);
- ошибка индикации порядка байтов в числах
(в ПО смешивается порядок обработки битов,
например, обратный и прямой порядок
битов, что приводит к неверному числу в
содержимом, имеющем критическое
значение для безопасности).
10 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.12
недостатки,
приводящие к
вследствие наличия иных ошибок
утечке/раскрытию
(например, ошибок, связанных с
информации
использованием скриптов).
ограниченного
доступа
2.13
недостатки, связанные - нарушение политики разграничения
с управлением доступа;
полномочиями - отсутствие необходимых ролей
(учетными данными) пользователей;
- ошибки при удалении ненужных
Новосибирск, 2021
11
учетных данных.
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.15
недостатки, - превышение привилегий и
связанные с полномочий;
управлением - необоснованное наличие
разрешениями, суперпользователей в системе;
привилегиями и - нарушение политики разграничения
доступом доступа.
2.16
- возможность обхода аутентификации;
недостатки, связанные - ошибки логики процесса аутентификации;
с аутентификацией - отсутствие запрета множественных
неудачных попыток аутентификации;
- отсутствие требования аутентификации
12 Новосибирск, 2021 для выполнения критичных функций.
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.17
- ошибки хранения информации в
недостатки, связанные незашифрованном виде;
с криптографическими - ошибки при управлении ключами;
преобразованиями
- использование несертифицированных
(недостатки
средств криптографической защиты
шифрования)
информации.
2.18
недостатки, связанные ПО не осуществляет или не может
с подменой осуществить проверку правильности
межсайтовых запросов формирования запроса.
13 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
2. Уязвимости ИС по типам недостатков ИС.
2.19
- ошибка проектирования
недостатки,
многопоточной системы или
приводящие к
приложения (проявляющаяся в
«состоянию гонки»
случайные моменты времени), при
которой функционирование системы или
приложения зависит от порядка
выполнения части кода.
2.20
- недостаточность мер освобождения
недостатки, связанные выделенных участков памяти после
с управлением использования, что приводит к сокращению
ресурсами свободных областей памяти;
- отсутствие очистки ресурса и процессов от
14 Новосибирск, 2021 сведений ограниченного доступа перед
повторным использованием.
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.1
уязвимости в - уязвимости ОС (уязвимости файловых
общесистемном систем, режимов загрузки, уязвимости
(общем) программном связанные с наличием средств
обеспечении разработки и отладки ПО, механизмов
управления процессами и другие);
- уязвимости систем управления базами
данных (уязвимости серверной и
клиентской частей системы управления
базами данных, специального
инструментария, исполняемых объектов
баз данных.
15 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.2
уязвимости в - уязвимости офисных пакетов программ
прикладном и иных типов прикладного ПО (наличие
программном средств разработки мобильного кода,
обеспечении недостатки механизмов контроля
исполнения мобильного кода, ошибки
программирования, наличие
функциональных возможностей,
способных оказать влияние на средства
защиты информации).
16 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.3
уязвимости в - уязвимости ПО, разработанного для
специальном решения специфических задач
программном конкретной ИС (ошибки
обеспечении программирования, наличие
функциональных возможностей,
способных оказать влияние на средства
защиты информации, недостатки
механизмов разграничения доступа к
объектам специального программного
обеспечения).
17 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.4
- уязвимости ПО технических средств
уязвимости в (уязвимости микропрограмм в
технических средствах постоянных запоминающих устройствах,
в программируемых логических
интегральных схемах, уязвимости
базовой системы ввода-вывода,
контроллеров управления, интерфейсов
управления).
18 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.5
- уязвимости ОС мобильных
уязвимости в
(портативных) устройств;
портативных
- уязвимости приложений для получения
технических средствах
с мобильно устройства доступа к
Интернет-сервисам;
- уязвимости интерфейсов
беспроводного доступа.
19 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.6
уязвимости в сетевом - уязвимости маршрутизаторов,
(коммуникационном, коммутаторов, концентраторов,
телекоммуникационном) мультиплексоров, мостов и
оборудовании телекоммуникационного оборудования
иных типов
(уязвимости протоколов и сетевых
сервисов, средств и протоколов
управления телекоммуникационным
оборудованием, недостатки механизмов
управления потоками информации,
разграничения доступа к функциям
управления телекоммуникационным
оборудованием).
20 Новосибирск, 2021
Классификация уязвимостей ИС
[ГОСТ Р 56546-2015]
3. Уязвимости ИС по месту возникновения (проявления.
3.7
- уязвимости в средствах управления
уязвимости в
доступом, средствах идентификации и
средствах защиты
аутентификации, средствах контроля
информации
целостности, средствах доверенной
загрузки, средствах антивирусной
защиты, системах обнаружения
вторжений, средствах межсетевого
экранирования и т.д.
21 Новосибирск, 2021
Знание возможных угроз и уязвимых мест
системы защиты информации необходимо для
того, чтобы выбрать наиболее (АДЕКВАТНЫЕ)
экономичные и эффективные средства
обеспечения безопасности.
22 Новосибирск, 2021
Классификация угроз
1. По компонентам ИС, на которые направлены угрозы ИБ.
угрозы аппаратному
угрозы ПО
обеспечению
23 Новосибирск, 2021
Классификация угроз
3. По характеру воздействия.
случайные преднамеренные
угрозы
угрозы целостности
конфиденциальности
угрозы доступности
25 Новосибирск, 2021
5 Классификация АС и СВТ