02.07.2022

Урок 2.1. Моделирование угроз. Возможные угрозы

Добрый день,
коллеги! После долгого перерыва возвращаюсь к работе над статьями.

Тема этого
урока — моделирование угроз по Методике
оценки угроз безопасности информации, утвержденной 05.02.2021 ФСТЭК России.

Шаг 1

Определяем объекты воздействия. Здесь
возможна любая степень детализации, на мой взгляд, крупными мазками все-таки
лучше, так как в последствии придется меньше переделывать.

Например, объекты могут быть такими:

·
персонал;

·
информационные активы;

·
программное обеспечение:

·
носители информации;

·
АРМы и сервера и т.д.

Шаг 2

Определяем виды риска
(ущерба) У1, У2, У3, для этого можно взять готовые примеры из методики (таблицы
4.1 Методики).

Шаг 3

Определяем виды
воздействия. Можно взять их из таблицы 5.1 Методики.

Шаг 4

Составляем таблицу,
которая объединит объекты воздействия, виды риска и виды воздействия. Это будет
Таблица 1 «Виды воздействий».

Обозначения вида риска	Негативные последствия	АРМ1	АРМ2	сервер
Из таблицы 5.1 Методики	Из таблицы 5.1 Методики	Определяет эксперт на Шаге 1
У1	Нарушение прав и свобод	Утечка	Утечка	Неактуально

Шаг 5

Определяем виды нарушителя и их цели. Используем таблицу 6.1
Методики. Это будет наша Таблица 2 «Виды нарушителей».

Вид нарушителя	Категория	Возможные цели
Из таблицы 6.1 Методики	Из таблицы 6.1 Методики	Из таблицы 6.1 Методики
Отдельные физические лица (хакеры)	Внешний	Получение финансовой или иной материальной выгоды. Любопытство или желание самореализации (подтверждение статуса)

Шаг 6

Определяем цели реализации угроз, используем таблицу 7.1.
Это будет наша Таблица 3 «Цели реализации угроз».

№	Виды нарушителей	Возможные цели реализации угроз безопасности информации			Соответствие целей видам риска (ущерба) и возможным негативным последствиям
№	Виды нарушителей	Нанесение ущерба физическому лицу	Нанесение ущерба юридическому лицу, индивидуальному предпринимателю	Нанесение ущерба государству в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности
	Из таблицы 7.1 Методики	Из Таблицы 2			Из Таблицы 1
3	Преступные группы (криминальные структуры)	+	+(получение финансовой выгоды за счет использования вычислительных мощностей серверов государственной информационной системы для майнинга криптовалюты)	+(желание самореализоваться)	У1(нарушение конфиденциальности персональных данных граждан);У2(нарушение деловой репутации);У3(доступ к системам и сетям с целью незаконного использования вычислительных мощностей)

Шаг 7

Определяем уровни возможностей нарушителей. Это будет
Таблица 4 «Возможности нарушителей».

Уровень возможностей нарушителя		Возможности нарушителя	Виды нарушителя
Из Таблицы 8.1 Методики		Из Таблицы 8.1 Методики	Из Таблицы 3 (берем из таблицы 8.1 и вычеркиваем те, что остались без цели)
Н1	Нарушитель, обладающий базовыми возможностями	Имеет возможность при реализации угроз безопасности информации использовать только известные уязвимости, скрипты и инструменты.	Физическое лицо (хакер)
		Имеет возможность использовать средства реализации угроз (инструменты), свободно распространяемые в сети «Интернет» и разработанные другими лицами, имеет минимальные знания механизмов их функционирования, доставки и выполнения вредоносного программного обеспечения, эксплойтов.
		Обладает базовыми компьютерными знаниями и навыками на уровне пользователя.
		Имеет возможность реализации угроз за счет физических воздействий на технические средства обработки и хранения информации, линий связи и обеспечивающие системы систем и сетей при наличии физического доступа к ним.	Авторизованные пользователи систем и сетей
		Таким образом, нарушители с базовыми возможностями имеют возможность реализовывать только известные угрозы, направленные на известные (документированные) уязвимости, с использованием общедоступных инструментов	Бывшие работники (пользователи)

Шаг 8

Сопоставляем виды риска и виды нарушителей. Таблица 5 «Актуальные
нарушители».

Виды риска (ущерба) и возможные негативные последствия	Виды актуального нарушителя	Категория нарушителя	Уровень возможностей нарушителя
Из таблицы 9.1 Методики	Из Таблицы 4	Из Таблицы 2	Из Таблицы 4
У1:нарушение конфиденциальности персональных данных граждан;нарушение личной, семейной тайны, утрата чести и доброго имени;финансовый, иной материальный ущерб физических лиц	Преступные группы (криминальные структуры)	Внешний	Н2
	Отдельные физические лица (хакеры)	Внешний	Н1
	Авторизованные пользователи систем и сетей	Внутренний	Н1
	Системные администраторы и администраторы безопасности	Внутренний	Н3
	Бывшие (уволенные) работники (пользователи)	Внешний	Н1
	Бывшие (уволенные) работники (пользователи)	Внешний	Н1

Шаг 9

Определяем способы реализации. Таблица 6 «Способы реализации».

Виды нарушителей	Категории нарушителей	Объект воздействия	Доступные интерфейс	Способы реализации
Из Таблицы 4	Из Таблицы 2	Из Таблицы 1	Из таблицы 10.1 Методики	Из таблицы 10.1 Методики
Физическое лицо (хакер)	Внешний	Персонал ИС	Нет	Нет
Физическое лицо (хакер)	Внешний	Информационные активы ИС	Веб-интерфейс удаленного администрирования	Использование недекларированных возможностей программного обеспечения

Шаг 10

Составляем итоговую таблицу. Таблица 7 «Возможные угрозы».

Угроза безопасности информации

Источник угрозы

Нарушитель по БДУ

Актуальный нарушитель

Объекты воздействия

Способы реализации

Возможные угрозы

Угроза

Описание

Из
БДУ

Из
БДУ внешний/внутренний нарушитель+потенциал

Таблица
4

(столько
столбцов, сколько актуальных нарушителей. В ячейках отмечаем для каждого нарушителя да/нет)

Таблица
1

(столько
столбцов, сколько объектов. В ячейках отмечаем для каждого объекта да/нет)

Таблица
6

(столько
столбцов, сколько актуальных способов. В ячейках отмечаем для каждого способа
да/нет)

Итоговое
значение

(Угроза
возможна/невозможна)*

*Из Методики:

Угроза безопасности информации
возможна, если имеются нарушитель или иной источник угрозы, объект, на который
осуществляются воздействия, способы реализации угрозы безопасности информации,
а реализация угрозы может привести к негативным последствиям:

УБИ_i =
[нарушитель (источник угрозы); объекты воздействия; способы реализации угроз;
негативные последствия].

В уроке 2.2. из возможных угроз мы будем определять
актуальные. Продолжение следует…

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

Вконтакте: https://vk.com/shudrova

telegram: @KseniaShudrova

Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».

Автор: Ксения Шудрова

Эксперт по ИБ, автор блога "Защита персональных данных и не только - книга рецептов".

Комментарии: