Вы находитесь на странице: 1из 35

Основы

информационной
безопасности
Лекция 2
Угрозы и уязвимости информационных систем

Угроза безопасности информации - совокупность условий и


факторов, создающих потенциальную или реально существующую
опасность нарушения безопасности информации.
Уязвимость - недостаток (слабость) программного (программно-
технического) средства или информационной системы в целом,
который может быть использован для реализации угроз
безопасности информации.

ГОСТ Р 56546-2015 Защита информации. Уязвимости


информационных систем. Классификация уязвимостей
информационных систем. (http://protect.gost.ru/v.aspx?
control=7&id=201376)
Угрозы и уязвимости информационных систем
По области происхождения:
• уязвимость кода - уязвимость, появившаяся в процессе разработки
программного обеспечения.
• уязвимость конфигурации - уязвимость, появившаяся в процессе
задания конфигурации (применения параметров настройки)
программного обеспечения и технических средств информационной
системы.
• уязвимость архитектуры - уязвимость, появившаяся в процессе
проектирования информационной системы.
• организационная уязвимость - уязвимость, появившаяся в связи с
несоблюдением правил эксплуатации системы защиты информации,
требований организационно-распорядительных документов.
• многофакторная уязвимость - уязвимость, появившаяся в результате
наличия нескольких недостатков различных типов.
Угрозы и уязвимости информационных систем
По типам недостатков:
• связанные с неправильной настройкой параметров ПО.
• связанные с неполнотой проверки вводимых (входных) данных.
• связанные с возможностью прослеживания пути доступа к каталогам.
• связанные с возможностью перехода по ссылкам.
• связанные с возможностью внедрения команд ОС.
• связанные с межсайтовым скриптингом (выполнением сценариев).
• связанные с внедрением интерпретируемых операторов языков
программирования или разметки.
• связанные с внедрением произвольного кода.
• связанные с переполнением буфера памяти.
• связанные с неконтролируемой форматной строкой.
• связанные с вычислениями.
• приводящие к утечке/раскрытию информации ограниченного доступа.
• связанные с управлением полномочиями (учетными данными).
• связанные с управлением разрешениями, привилегиями и доступом.
• связанные с аутентификацией.
• связанные с криптографическими преобразованиями (недостатки
шифрования).
• связанные с подменой межсайтовых запросов.
• приводящие к "состоянию гонки".
• связанные с управлением ресурсами.
Угрозы и уязвимости информационных систем
По месту возникновения (проявления):
• уязвимости в общесистемном (общем) ПО.
• уязвимости в прикладном ПО.
• уязвимости в специальном ПО.
• уязвимости в технических средствах.
• уязвимости в портативных технических средствах.
• уязвимости в сетевом (коммуникационном,
телекоммуникационном) оборудовании.
• уязвимости в средствах защиты информации.
Угрозы безопасности информации
"Методический документ. Методика оценки угроз безопасности
информации" (утв. ФСТЭК России 05.02.2021)
http://www.consultant.ru/document/cons_doc_LAW_378330/

Оценка угроз безопасности информации проводится с использованием


экспертного метода. В интересах снижения субъективных факторов при
оценке угроз безопасности информации рекомендуется создавать
экспертную группу.
Рекомендуемая структура модели угроз безопасности информации
приведена в приложении 3 к Методике.

Процесс определения угроз безопасности информации делится на четыре


этапа:
1. Область применения процесса определения угроз безопасности
информации.
2. Идентификация угроз безопасности информации и их источников.
3. Определение актуальных угроз безопасности информации.
4. Мониторинг и переоценка угроз безопасности информации.
Исходные данные для оценки угроз
а) общий перечень угроз безопасности информации, содержащийся в
банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru
), модели угроз безопасности информации, разрабатываемые ФСТЭК
России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной
службе по техническому и экспортному контролю, утвержденного Указом
Президента Российской Федерации от 16 августа 2004 г. N 1085, а также
отраслевые (ведомственные, корпоративные) модели угроз безопасности
информации;
б) описания векторов (шаблоны) компьютерных атак, содержащиеся в
базах данных и иных источниках, опубликованных в сети "Интернет"
(CAPEC, ATT&CK, OWASP, STIX, WASC и др.);
в) документация на системы и сети (а именно: техническое задание на
создание систем и сетей, частное техническое задание на создание системы
защиты, программная (конструкторская) и эксплуатационная (руководства,
инструкции) документация, содержащая сведения о назначении и
функциях, составе и архитектуре систем и сетей, о группах пользователей
и уровне их полномочий и типах доступа, о внешних и внутренних
интерфейсах, а также иные документы на системы и сети, разработка
которых предусмотрена требованиями по защите информации
(обеспечению безопасности) или национальными стандартами);
Исходные данные для оценки угроз
г) договоры, соглашения или иные документы, содержащие условия
использования информационно-телекоммуникационной инфраструктуры
центра обработки данных или облачной инфраструктуры поставщика услуг
(в случае функционирования систем и сетей на базе информационно-
телекоммуникационной инфраструктуры центра обработки данных или
облачной инфраструктуры);
д) нормативные правовые акты Российской Федерации, в соответствии с
которыми создаются и функционируют системы и сети, содержащие в том
числе описание назначения, задач (функций) систем и сетей, состав
обрабатываемой информации и ее правовой режим;
е) технологические, производственные карты или иные документы,
содержащие описание управленческих, организационных,
производственных и иных основных процессов (бизнес-процессов) в
рамках выполнения функций (полномочий) или осуществления видов
деятельности обладателя информации, оператора (далее - основные
(критические) процессы);
ж) результаты оценки рисков (ущерба), проведенной обладателем
информации и (или) оператором.
Этап 1. Область применения процесса определения
угроз безопасности информации.

Подразумевает принятие решения о необходимости защиты


информации в ИС и разработку требований к защите.
На данном этапе должны быть определены физические и
логические границы информационной системы, в которых
принимаются и контролируются меры защиты информации, за
которые ответственен оператор, а также определены объекты
защиты и сегменты информационной системы.
Область применения процесса определения угроз
безопасности информации отражается в модели угроз
безопасности информации наряду с областью действия модели
угроз, структурно-функциональными характеристиками
информационной системы и особенностями ее
функционирования.
Этап 2. Идентификация угроз безопасности
информации и их источников.
На данном этапе необходимо выделить источники угроз.
Оценивать целесообразно только те угрозы, у которых есть
источники и эти источники имеют возможности и условия
для реализации угроз.
Источники угроз могут быть:
• антропогенные источники - лица, которые могут
преднамеренно или непреднамеренно нарушить
конфиденциальность, целостность или доступность
информации
• техногенные источники - отказы или сбои в работе
технических и программных средств
• стихийные источники - пожары, землетрясения, наводнения
и т.п.
Этап 2. Идентификация угроз безопасности
информации и их источников.

Для идентификации угроз безопасности информации в


информационной системе определяются:
• возможности (тип, вид, потенциал) нарушителей,
необходимые им для реализации угроз безопасности
информации;
• уязвимости, которые могут использоваться при реализации
угроз безопасности информации (включая специально
внедренные программные закладки);
• способы (методы) реализации угроз безопасности
информации;
• объекты информационной системы, на которые направлена
угроза безопасности информации (объекты воздействия);
• результат и последствия от реализации угроз безопасности
информации.
Этап 2. Идентификация угроз безопасности
информации и их источников.

Каждая угроза безопасности информации в информационной


системе описывается следующим образом:

УБИj= [нарушитель (источник угрозы); объекты


воздействия; способы реализации угроз; негативные
последствия].
Этап 3. Определение актуальных угроз безопасности
информации.
В Модель угроз включаются только актуальные угрозы – УБИjA, то
есть в информационной системе с заданными структурно-
функциональными характеристиками и особенностями
функционирования существует вероятность (возможность)
реализации рассматриваемой угрозы нарушителем с
соответствующим потенциалом и ее реализация приведет к
неприемлемым негативным последствиям (ущербу):

УБИjA = [вероятность (возможность) реализации угрозы (Pj);


степень ущерба (Xj)],
где Pj - определятся на основе анализа статистических данных о
частоте реализации угроз безопасности информации в
информационной системе и (или) однотипных информационных
системах,
Xj - определяется на основе оценок степени последствий от
нарушения конфиденциальности, целостности или доступности
информации.
Этап 3. Определение актуальных угроз безопасности
информации.
Под вероятностью реализации угрозы безопасности информации (Pj)
понимается определяемый экспертным путем показатель.
Вводятся три вербальные градации этого показателя:
низкая вероятность - отсутствуют объективные предпосылки к
реализации j-ой угрозы безопасности информации, отсутствует
требуемая статистика по фактам реализации j-ой угрозы безопасности
информации, возможная частота реализации j-ой угрозы не превышает
1 раза в 5 лет;
средняя вероятность - существуют предпосылки к реализации j-ой
угрозы безопасности информации, зафиксированы случаи реализации
j-ой угрозы безопасности информации, возможная частота реализации
j-ой угрозы не превышает 1 раза в год;
высокая вероятность - существуют объективные предпосылки к
реализации j-ой угрозы безопасности информации, у нарушителя
имеются мотивы для реализации j-ой угрозы, частота реализации j-ой
угрозы - чаще 1 раза в год.
Этап 3. Определение актуальных угроз безопасности
информации.
При отсутствии статистических данных о реализации угроз в
информационной системе и (или) однотипных
информационных системах, актуальность УБИ определяется
на основе оценки возможности реализации угрозы
безопасности информации (Yj):
УБИjA = [возможность реализации угрозы (Yj); степень
ущерба (Xj)],
где Yj - определятся на основе оценки уровня защищенности
информационной системы и потенциала нарушителя,
требуемого для реализации угрозы безопасности.
Этап 3. Определение актуальных угроз безопасности
информации.
Возможность реализации j-ой угрозы безопасности
информации (Yj) оценивается исходя из уровня защищенности
информационной системы (Y1) и потенциала нарушителя (Y2),
необходимого для реализации этой угрозы безопасности
информации в конкретной ИС:
Yj = [уровень защищенности (Y1); потенциал нарушителя
(Y2)].
На этапе создания ИС используется уровень проектной
защищенности ИС - Y1П.
Под уровнем проектной защищенности (Y1П) понимается
исходная защищенность информационной системы,
обусловленная заданными при проектировании структурно-
функциональными характеристиками и условиями ее
функционирования.
Этап 3. Определение актуальных угроз безопасности
информации.
Уровень проектной защищенности (Y1П) определяется исходя из таблицы,
приведенной в Методике:

В ходе эксплуатации информационной системы уровень ее защищенности


(Y1) определяется следующим образом:
Этап 3. Определение актуальных угроз безопасности
информации.
Потенциал, требуемый нарушителю для реализации j-ой угрозы
безопасности информации, может быть:
• базовым (низким),
• базовым повышенным (средним),
• высоким.

Значение потенциала нарушителя (Y2) для j-ой угрозы безопасности


информации определяется на основе данных, приведенных в банке
данных угроз безопасности информации ФСТЭК России, а также в
базовых и типовых моделях угроз безопасности информации,
разрабатываемых ФСТЭК для ИС различных классов и типов.

В случае отсутствия информации о потенциале нарушителя для


реализации j-ой угрозы безопасности значение потенциала (Y2)
определяется в соответствии с приложением № 3 к Методике.
Этап 3. Определение актуальных угроз безопасности
информации.
Возможность реализации j-ой угрозы безопасности
информации (Yj) в зависимости от уровня защищенности
информационной системы (Y1) и потенциала нарушителя (Y2)
определяется как высокая, средняя или низкая в соответствии
с таблицей:
Этап 3. Определение актуальных угроз безопасности
информации.
При обработке в информационной системе двух и более видов
информации (служебная тайна, персональные данные, налоговая
тайна и т.д.) воздействие на конфиденциальность, целостность,
доступность определяется отдельно для каждого вида информации.
Итоговая степень возможного ущерба берется по максимальному
показателю.
Степень возможного ущерба определяется экспертным методом в
соответствии с таблицей:
Этап 3. Определение актуальных угроз безопасности
информации.

Решение об актуальности угрозы безопасности информации


УБИjA принимается в соответствии с таблицей:
Этап 4. Мониторинг и переоценка угроз
безопасности информации.
В ходе эксплуатации ИС может измениться ее базовая конфигурация,
состав и значимость обрабатываемой информации. Это обуславливает
необходимость четвертого этапа. Методика рекомендует пересматривать
угрозы не реже 1 раза в год.
Пересмотр (переоценка) угроз безопасности информации, как минимум,
осуществляется в случаях:
а) изменения требований нормативных правовых актов Российской
Федерации, методических документов ФСТЭК России, регламентирующих
вопросы оценки угроз безопасности информации;
б) изменений архитектуры и условий функционирования систем и
сетей, режима обработки информации, правового режима информации,
влияющих на угрозы безопасности информации;
в) выявления, в том числе по результатам контроля уровня
защищенности систем и сетей и содержащейся в них информации (анализа
уязвимостей, тестирований на проникновение, аудита), новых угроз
безопасности информации или новых сценариев реализации
существующих угроз;
г) включения в банк данных угроз безопасности информации ФСТЭК
России (bdu.fstec.ru) сведений о новых угрозах безопасности информации,
сценариях (тактиках, техниках) их реализации.
Модель нарушителя
Должна содержать в себе модель нарушителя, включающую:
• типы, виды и потенциал нарушителей, которые могут
обеспечить реализацию угроз безопасности информации;
• цели, которые могут преследовать нарушители каждого
вида при реализации угроз безопасности информации;
• возможные способы реализации угроз безопасности
информации.

По типу нарушители поделены на внутренних и внешних по


наличию доступа в ИС.
Внешнего нарушителя необходимо рассматривать в качестве
актуального во всех случаях, когда имеются подключения ИС
к внешним информационно-телекоммуникационным сетям
и/или имеются линии связи, выходящие за пределы
контролируемой зоны, используемые для иных подключений.
Модель нарушителя
Угрозы могут быть реализованы следующими видами нарушителей:
• специальные службы иностранных государств (блоков государств);
• террористические, экстремистские группировки;
• преступные группы (криминальные структуры);
• внешние субъекты (физические лица);
• конкурирующие организации;
• разработчики, производители, поставщики программных, технических
и
• программно-технических средств;
• лица, привлекаемые для установки, наладки, монтажа,
пусконаладочных и
• иных видов работ;
• лица, обеспечивающие функционирование информационных систем
или
• обслуживающие инфраструктуру оператора (администрация, охрана,
уборщики и т.д.);
• пользователи информационной системы;
• администраторы информационной системы и администраторы
безопасности;
• бывшие работники (пользователи).
Модель нарушителя
Виды нарушителей, характерных для конкретной ИС определяются на
основе предположений о возможных целях при реализации угроз.
В качестве возможных целей (мотивации) могут быть:
• нанесение ущерба государству, отдельным его сферам деятельности или
секторам экономики;
• реализация угроз по идеологическим или политическим мотивам;
• организация террористического акта;
• причинение имущественного ущерба путем мошенничества или иным
преступным путем;
• дискредитация или дестабилизация деятельности органов
государственной власти, организаций;
• получение конкурентных преимуществ;
• внедрение дополнительных функциональных возможностей в
программное обеспечение или программно-технические средства на
этапе разработки;
• любопытство или желание самореализации;
• выявление уязвимостей с целью их дальнейшей продажи и получения
финансовой выгоды;
• реализация угроз безопасности информации из мести;
• реализация угроз безопасности информации непреднамеренно из-за
неосторожности или неквалифицированных действий.
Модель нарушителя

В зависимости от потенциала, требуемого для реализации угроз


безопасности информации, нарушители подразделяются на:
• нарушителей, обладающих базовым (низким) потенциалом
нападения при реализации угроз (нарушители Н1 по классификации
ФСТЭК). К этой категории относятся внешние физические лица,
пользователи ИС, бывшие сотрудники и т.п.; (нарушители Н1 по
классификации ФСБ)

Имеет возможность при реализации угроз безопасности информации


использовать только известные уязвимости, скрипты и инструменты.
Модель нарушителя
• нарушителей, обладающих базовым повышенным потенциалом
нападения при реализации угроз (нарушители Н2 по классификации
ФСТЭК). К этой категории относятся преступные группы,
конкурирующие организации, администраторы ИС, производители
программного обеспечения и т.п.; (нарушители Н2-Н3 по
классификации ФСБ)
Имеет возможность использовать средства реализации угроз
(инструменты), свободно распространяемые в сети "Интернет" и
разработанные другими лицами, имеет навыки самостоятельного
планирования и реализации сценариев угроз безопасности
информации.
Модель нарушителя
• нарушители, обладающие средним потенциалом нападения при
реализации угроз (нарушители Н3 по классификации ФСТЭК). К
этой категории относятся террористические, экстремистские
группировки, разработчики программных, программно-аппаратных
средств (нарушители Н4-Н5 по классификации ФСБ)

• нарушителей, обладающих высоким потенциалом нападения при


реализации угроз. К этой категории ФСТЭК отнес только
специальные службы иностранных государств (блоков государств).
(нарушитель Н6 по классификации ФСБ (т.е. сотрудники
иностранной технической разведки).
Модель угроз безопасности информации

При определении возможных способов реализации угроз


безопасности информации необходимо исходить из
следующих условий:
• нарушитель может действовать один или в составе группы
нарушителей;
• в отношении ИС внешний нарушитель может действовать
совместно с внутренним нарушителем;
• угрозы могут быть реализованы в любое время и в любой
точке ИС (на любом узле или хосте);
• для достижения своей цели нарушитель выбирает наиболее
слабое звено ИС.
Модель угроз безопасности информации

Модель угроз безопасности информации должна содержать


следующие разделы:
Банк данных угроз безопасности информации
"Методика оценки угроз безопасности информации" применяется
совместно с банком данных угроз безопасности информации,
сформированным ФСТЭК России (https://bdu.fstec.ru/threat)
Банк данных угроз безопасности информации

В паспорте каждой угрозы есть ее наименование, уникальный идентификатор,


описание, источники угрозы (минимальные возможности внешнего или внутреннего
нарушителя, необходимые для реализации угрозы), объекты воздействия и
последствия реализации угрозы.
Создание частной модели угроз на основе БДУ
Создание частной модели угроз на основе БДУ
Контакты
Маро Екатерина Александровна
E-mail: eamaro@sfedu.ru

Вам также может понравиться